CVE-2025-2691 是 nossrf Node.js 包中发现的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过提供恶意主机名,绕过内置的 SSRF 保护机制,从而访问内部资源或执行未经授权的操作。受影响的版本包括 nossrf 的 1.0.3 及更早版本。建议立即升级到 1.0.4 版本以修复此漏洞。
攻击者利用 CVE-2025-2691 漏洞可以发起服务器端请求伪造攻击,访问内部网络中的敏感资源。这可能包括读取内部数据库、访问管理界面、甚至执行代码。由于 nossrf 旨在防止 SSRF 攻击,此漏洞的出现表明其保护机制存在缺陷,攻击者可以绕过这些保护,从而扩大攻击范围。攻击者可能利用此漏洞扫描内部网络,寻找其他潜在漏洞,或者窃取敏感数据,造成严重的安全风险。
CVE-2025-2691 已于 2025 年 3 月 23 日公开披露。目前尚无公开的利用代码 (PoC),但由于 SSRF 漏洞的普遍性,预计未来可能会出现。该漏洞的 EPSS 评级为中等,表明存在一定概率被利用。建议密切关注安全社区的动态,及时采取应对措施。
Applications utilizing the nossrf Node.js package, particularly those deployed in environments with internal services accessible via HTTP or HTTPS, are at risk. Shared hosting environments where users have the ability to install and manage their own Node.js packages are also particularly vulnerable.
• nodejs / server:
npm list nossrfIf the output shows a version less than 1.0.4, the system is vulnerable. • nodejs / server:
npm audit nossrfThis command will identify the vulnerability and suggest an upgrade. • generic web: Review application logs for unusual outbound requests to local or reserved IP addresses. Look for patterns that suggest an attacker is attempting to bypass SSRF protection.
disclosure
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
CVSS 向量
修复 CVE-2025-2691 漏洞的首要措施是立即升级 nossrf 包到 1.0.4 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止攻击者绕过 SSRF 保护机制。此外,应审查 nossrf 包的配置,确保其正确配置,并限制其访问权限。在升级后,请验证 nossrf 包是否已成功升级,并确认 SSRF 保护机制是否正常工作。
将 nossrf 包的版本升级到 1.0.4 或更高版本。这可以通过在您的项目中运行 `npm install nossrf@latest` 或 `yarn upgrade nossrf` 来完成。请务必验证更新是否已成功。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-2691 是 nossrf Node.js 包中发现的服务器端请求伪造 (SSRF) 漏洞,攻击者可以绕过 SSRF 保护机制访问内部资源。
如果您的 nossrf 包版本低于 1.0.4,则您可能受到此漏洞的影响。请立即检查您的版本。
升级 nossrf 包到 1.0.4 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的利用代码,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。
请访问 nossrf 包的 GitHub 仓库或 npm 页面,查找官方公告。