HIGHCVE-2025-52477CVSS 8.6

Octo STS 未认证 SSRF 通过滥用 OpenID Connect token 中的字段 (github.com/octo-sts/app)

Q: Am I affected by CVE-2025-52477 in Octo STS?

如果您正在使用Octo STS 0.5.3之前的版本，则可能受到此漏洞的影响。请立即检查您的版本并升级。

Q: How do I fix CVE-2025-52477 in Octo STS?

升级到Octo STS 0.5.3或更高版本是修复此漏洞的最佳方法。

Q: Is CVE-2025-52477 being actively exploited?

目前尚未确认该漏洞正在被积极利用，但由于其易用性，存在被恶意利用的风险。

Q: Where can I find the official Octo STS advisory for CVE-2025-52477?

请查阅github.com/octo-sts/app项目仓库中的相关安全公告以获取官方信息。

平台

组件

github.com/octo-sts/app

修复版本

0.5.4

0.5.3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-52477描述了github.com/octo-sts/app Octo STS应用程序中的服务器端请求伪造(SSRF)漏洞。该漏洞允许攻击者通过滥用OpenID Connect令牌中的字段发起未经身份验证的请求，从而可能导致敏感信息泄露或对内部资源的访问。该漏洞影响0.5.3之前的版本，建议尽快升级至0.5.3版本以缓解风险。

影响与攻击场景

该SSRF漏洞的潜在影响非常严重。攻击者可以利用该漏洞扫描内部网络，访问内部服务，甚至可能执行未经授权的操作。攻击者可以通过构造恶意的OpenID Connect令牌，将请求伪装成来自受信任来源的请求，从而绕过身份验证机制。例如，攻击者可以利用该漏洞访问内部数据库、API或文件共享服务，窃取敏感数据或篡改系统配置。由于该漏洞无需身份验证，攻击者可以轻易地利用该漏洞进行攻击，造成广泛的影响。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚无公开的PoC代码，但由于该漏洞无需身份验证，且SSRF漏洞通常易于利用，因此存在被恶意利用的可能性。CISA尚未将其添加到KEV目录中。NVD发布日期为2025年7月28日。

哪些人处于风险中翻译中…

Organizations that rely on Octo STS for OpenID Connect token validation, particularly those with internal services accessible via HTTP or HTTPS, are at risk. This includes applications that integrate with identity providers and use Octo STS to verify user authentication. Environments with limited network segmentation or inadequate WAF protection are especially vulnerable.

检测步骤翻译中…

• go: Inspect application code for instances where Octo STS is used to validate OpenID Connect tokens. Look for code that directly uses the token's claims to construct outbound URLs without proper validation. • generic web: Monitor outbound network traffic from the application for requests to unexpected or internal IP addresses. Use tools like tcpdump or network intrusion detection systems (NIDS) to identify suspicious patterns. • linux / server: Examine application logs for errors related to token validation or unexpected outbound requests. Use journalctl to filter for relevant log entries.

journalctl -u your_app_service -f | grep "Octo STS" | grep "URL"

攻击时间线

2025-07-28Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件github.com/octo-sts/app

供应商osv

影响范围修复版本

< 0.5.3 – < 0.5.30.5.4

—0.5.3

弱点分类 (CWE)

CWE-918

时间线

已保留2025-06-17
发布日期2025-07-28
修改日期2026-02-04
EPSS 更新日期2026-03-23

缓解措施和替代方案

修复此漏洞的首要措施是立即升级到Octo STS 0.5.3或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置Web应用程序防火墙(WAF)或反向代理服务器，以阻止来自OpenID Connect令牌中的可疑请求。此外，还可以限制Octo STS应用程序的网络访问权限，只允许其访问必要的内部资源。在升级后，请务必验证修复是否有效，例如通过尝试发起一个SSRF请求，确认其被正确阻止。

修复方法

将 Octo-STS 更新到 0.5.3 或更高版本。此版本包含清理输入和 redact 日志的补丁，从而减轻 SSRF 漏洞。可以通过下载新版本并替换现有文件来执行更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

What is CVE-2025-52477 — SSRF in Octo STS?

CVE-2025-52477描述了github.com/octo-sts/app Octo STS应用程序中的服务器端请求伪造(SSRF)漏洞，允许攻击者通过OpenID Connect令牌发起未经身份验证的请求。

Am I affected by CVE-2025-52477 in Octo STS?