Manager-io/Manager: 通过时间检查时间使用 (TOCTOU) 完全绕过 SSRF 保护

此 SSRF 漏洞的影响极其严重，因为它允许攻击者绕过 Manager-io Manager 的网络隔离机制。攻击者可以利用此漏洞访问内部网络服务，例如数据库服务器、管理控制面板和其他敏感资源。在 Manager Desktop 版本中，攻击者无需任何身份验证即可利用此漏洞，而在 Manager Server 版本中，只需要标准的身份验证凭据。攻击者可以利用此漏洞窃取敏感数据、执行恶意代码或完全控制受影响的系统。由于无需身份验证，桌面版尤其脆弱，攻击者可以轻易地从外部网络发起攻击。此漏洞类似于其他利用 TOCTOU 条件的 SSRF 漏洞，可能导致严重的业务中断和数据泄露。

Organizations using Manager-io Manager, particularly those with sensitive financial data, are at risk. Shared hosting environments where multiple users share the same Manager-io instance are especially vulnerable, as an attacker could potentially exploit the SSRF to access data belonging to other users. Legacy configurations that haven't been updated to the latest version are also at increased risk.

• linux / server: Monitor journalctl for unusual outbound requests originating from the Manager-io process. Use ss -tulnp | grep manager to identify connections to internal services.

journalctl -u manager -f | grep -i 'internal_service'

• generic web: Examine access and error logs for requests to internal network resources. Use curl -v <internal_resource> to test access from the Manager-io server.

curl -v http://169.254.169.254/latest/meta-data/  # Example: Cloud metadata endpoint

1. 2025-11-07Disclosure

   disclosure

1. 已保留2025-10-28
2. 发布日期2025-11-07
3. 修改日期2026-01-07
4. EPSS 更新日期2026-03-23

缓解此漏洞的首要措施是立即升级到 Manager-io Manager 的 25.11.1.3086 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制 Manager-io Manager 访问的外部网络资源，使用防火墙规则阻止对敏感内部服务的直接访问。其次，实施严格的身份验证和授权控制，确保只有授权用户才能访问 Manager-io Manager。第三，监控 Manager-io Manager 的网络流量，检测任何可疑的活动。如果怀疑已发生入侵，立即隔离受影响的系统并进行彻底的安全审计。升级后，请验证 DNS 解析配置，确保其符合安全最佳实践。