平台
go
组件
d7y.io/dragonfly/v2
修复版本
2.1.1
2.1.0
CVE-2025-59346 描述了 d7y.io/dragonfly/v2 Dragonfly v2 中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过 Dragonfly 服务器发起请求,访问原本不可公开访问的内部资源。受影响的版本包括低于 2.1.0 的版本。已发布补丁,建议立即升级。
SSRF 漏洞允许攻击者利用受信任的服务器作为代理,访问内部网络资源,这些资源通常对外部用户隐藏。在 Dragonfly v2 中,攻击者可以利用此漏洞扫描内部服务,访问敏感数据,甚至可能执行进一步的攻击,例如读取配置信息或访问数据库。攻击者可能利用此漏洞绕过访问控制机制,从而获取对内部系统的未经授权的访问权限。如果 Dragonfly v2 被用于处理敏感数据或连接到关键内部服务,那么该漏洞的潜在影响将非常严重。
该漏洞已公开披露,且 CVSS 评分为高危。目前尚无公开的利用程序 (PoC),但 SSRF 漏洞通常容易被利用。建议密切关注安全社区的动态,并及时采取措施。
Organizations deploying Dragonfly v2 in environments with internal APIs or sensitive resources accessible via HTTP/HTTPS are at risk. This includes deployments where Dragonfly is used as a proxy or gateway, as the vulnerability could be leveraged to access backend systems.
• go / server: Inspect Dragonfly application logs for unusual outbound HTTP requests to internal or unexpected external URLs. Use netstat or ss to monitor network connections originating from the Dragonfly process.
ss -t http -p src dst• generic web: Monitor access logs for requests containing suspicious URL parameters or internal IP addresses. Examine response headers for signs of internal resource access. • generic web: Use curl to probe for potential SSRF endpoints.
curl -v --connect-timeout 1 http://<dragonfly_host>/internal_resourcedisclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
修复此漏洞的首要措施是升级到 Dragonfly v2 2.1.0 或更高版本。如果升级不可行,可以考虑实施一些临时缓解措施。例如,可以通过配置 Dragonfly 服务器的防火墙规则,限制其可以访问的外部网络。此外,还可以审查 Dragonfly 服务器的配置,确保其没有暴露任何不必要的内部服务。如果使用反向代理或 Web 应用防火墙 (WAF),请配置相应的规则以检测和阻止 SSRF 攻击。升级后,请验证配置是否正确,并确认漏洞已成功修复。
将 Dragonfly 更新到 2.1.0 或更高版本。此版本包含 SSRF 漏洞的修复。请务必遵循供应商提供的更新说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59346 是 Dragonfly v2 中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 Dragonfly 服务器发起请求访问内部资源。
如果您的 Dragonfly v2 版本低于 2.1.0,则您可能受到此漏洞的影响。
升级到 Dragonfly v2 2.1.0 或更高版本是修复此漏洞的最佳方法。
虽然目前没有公开的利用程序,但 SSRF 漏洞通常容易被利用,建议密切关注安全动态。
请访问 d7y.io 官方网站或 Dragonfly v2 的 GitHub 仓库,查找有关此漏洞的官方公告。
上传你的 go.mod 文件,立即知道是否受影响。