平台
other
组件
stirling-pdf
修复版本
1.1.1
CVE-2025-55150 描述了 Stirling-PDF 在 HTML 到 PDF 转换过程中存在的服务器端请求伪造 (SSRF) 漏洞。攻击者可以利用此漏洞绕过安全过滤机制,向内部或外部资源发起未经授权的请求。该漏洞影响 Stirling-PDF 版本小于或等于 1.1.0 的用户。已在 1.1.0 版本中发布了修复程序。
攻击者利用此 SSRF 漏洞可以访问内部网络资源,例如数据库、管理界面或其他敏感服务,这些资源通常对外部网络不可见。攻击者还可以利用此漏洞执行诸如端口扫描、内部服务枚举和数据泄露等操作。如果 Stirling-PDF 用于处理用户上传的 HTML 文件,攻击者甚至可能利用此漏洞访问用户未授权访问的外部资源。此漏洞的潜在影响包括数据泄露、系统入侵和未经授权的访问。
目前没有公开的利用代码 (PoC),但 SSRF 漏洞通常容易被利用。该漏洞已于 2025 年 8 月 11 日公开披露。由于 SSRF 漏洞的普遍性,建议密切关注该漏洞的利用情况。CISA 尚未将此漏洞添加到 KEV 目录,但其 CVSS 评分为高,表明存在潜在风险。
Organizations utilizing Stirling-PDF for internal PDF generation and processing are at risk, particularly those with sensitive internal resources accessible via HTTP/HTTPS. Environments where Stirling-PDF is exposed to untrusted networks or user-supplied HTML content are at higher risk.
disclosure
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 Stirling-PDF 1.1.0 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:首先,限制 /api/v1/convert/html/pdf 端点的访问权限,仅允许受信任的来源。其次,配置网络防火墙或 Web 应用防火墙 (WAF) 以阻止来自可疑来源的请求。最后,审查 Stirling-PDF 的配置,确保其遵循安全最佳实践。升级后,请验证修复是否成功,例如通过尝试使用 HTML 文件进行转换,并确认请求目标符合预期。
将 Stirling-PDF 更新到 1.1.0 或更高版本。此版本包含对 /api/v1/convert/html/pdf 端点 SSRF 漏洞的修复。升级将降低外部攻击者通过您的服务器发起未经授权请求的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-55150 是一个服务器端请求伪造 (SSRF) 漏洞,影响到 Stirling-PDF 版本小于或等于 1.1.0 的用户。攻击者可以绕过安全过滤机制,发起未经授权的请求。
如果您正在使用 Stirling-PDF 版本小于或等于 1.1.0,则您可能受到此漏洞的影响。请立即升级到 1.1.0 或更高版本。
最有效的修复方法是升级到 Stirling-PDF 1.1.0 或更高版本。如果无法立即升级,请实施临时缓解措施,例如限制端点访问和配置 WAF。
目前没有公开的利用代码,但由于 SSRF 漏洞的普遍性,建议密切关注该漏洞的利用情况。
请查阅 Stirling-PDF 官方网站或 GitHub 仓库,以获取有关此漏洞的官方公告和修复信息。
CVSS 向量