CVE-2025-68696 描述了 httparty Ruby Gem 中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过控制路径参数,使应用程序意外地与未预期的主机通信,从而可能泄露敏感信息或执行未经授权的操作。此漏洞影响 httparty 版本小于或等于 0.9.0 的用户,已于 2025 年 12 月 23 日公开,建议升级至 0.24.0 版本以修复此问题。
此 SSRF 漏洞的潜在影响非常严重。攻击者可以利用此漏洞泄露应用程序配置中存储的 API 密钥,例如 AWS 访问密钥或数据库密码。此外,攻击者还可以利用此漏洞向内部服务器发起请求,这些服务器通常不对外部网络可见。这可能导致攻击者访问敏感数据、执行未经授权的操作,甚至完全控制内部系统。例如,攻击者可能利用此漏洞扫描内部网络,寻找其他漏洞,或在内部服务器上执行恶意代码。由于 httparty 广泛应用于 Ruby Web 应用程序中,因此该漏洞的潜在影响范围非常广泛。
目前没有公开的利用代码 (PoC),但由于 SSRF 漏洞的普遍性,以及 httparty 的广泛使用,存在被利用的风险。该漏洞已于 2025 年 12 月 23 日公开,尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications utilizing the httparty Ruby gem in versions 0.9.0 and earlier are at risk. This includes web applications, APIs, and any other Ruby projects that rely on httparty for making HTTP requests. Shared hosting environments where multiple applications share the same Ruby environment are particularly vulnerable, as a compromise of one application could potentially expose the entire environment.
• ruby / server:
grep -r 'require \'httparty\' ' /path/to/your/ruby/projects• ruby / supply-chain:
gem list httparty• generic web:
curl -I <your_application_url>/<potentially_vulnerable_endpoint>
# Check for unexpected internal hostnames in the response headersdisclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2025-68696 的风险,建议立即升级到 httparty 0.24.0 或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:严格验证所有用户提供的路径参数,确保它们不包含绝对 URL。实施网络策略,限制应用程序可以访问的外部主机。使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求。在代码中添加额外的安全检查,以防止 SSRF 攻击。升级后,请仔细检查应用程序的配置,确保没有泄露敏感信息。
将 httparty 库更新到 0.23.2 之后的版本。这可以通过使用 npm 包管理器执行命令 `npm install httparty@latest` 来完成。请务必检查安装的版本是否高于 0.23.2 以缓解 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68696 是 httparty Ruby Gem 中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过控制路径参数发起请求到内部服务器,可能泄露 API 密钥。
如果您正在使用 httparty 版本小于或等于 0.9.0,则您可能受到此漏洞的影响。请立即升级到 0.24.0 或更高版本。
建议升级到 httparty 0.24.0 或更高版本。如果无法立即升级,请实施严格的路径参数验证和网络策略。
目前没有公开的利用代码,但由于 SSRF 漏洞的普遍性,存在被利用的风险。
请查阅 httparty Ruby Gem 的官方 GitHub 仓库或相关安全公告,以获取更多信息。
上传你的 Gemfile.lock 文件,立即知道是否受影响。