esm.sh 存在完整的响应 SSRF 漏洞

攻击者可以利用此 SSRF 漏洞，通过构造恶意的 URL，向 esm.sh 服务发起请求，并获取内部网络中服务器的响应。例如，攻击者可以构造一个 URL https://esm.sh/https://local.site/test.md，从而获取 local.site 上的 test.md 文件内容。如果内部网络中存在未授权访问的敏感服务或 API，攻击者可以通过此漏洞获取敏感数据，例如数据库凭证、内部文档、或其他机密信息。此外，攻击者还可以利用 302 重定向进一步扩大攻击范围，访问更广泛的内部资源。

Organizations heavily reliant on esm.sh for JavaScript module resolution, particularly those with sensitive internal resources accessible via HTTP, are at risk. Environments with less stringent network segmentation policies are also more vulnerable, as an attacker could potentially leverage the SSRF to reach deeper into the internal network.

• linux / server:

journalctl -u esm-sh -g 'SSRF' | grep -i 'local.site'

• generic web:

curl -I https://esm.sh/https://local.site/test.md | grep -i 'local.site'

1. 2026-02-25Disclosure

   disclosure

1. 已保留2025-06-13
2. 发布日期2026-02-25
3. 修改日期2026-02-28
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级至修复版本 0.0.0-20250616164159-0593516c4cfa。如果升级会导致系统中断，可以考虑暂时禁用 esm.sh 服务或限制其访问权限。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，过滤包含恶意 URL 的请求，阻止 SSRF 攻击。建议审查 esm.sh 的配置，确保其只允许访问必要的外部资源，并限制其对内部网络的访问。升级后，请验证配置是否正确，并测试 esm.sh 的功能是否正常。