CVE-2026-27170 是 OpenSift 中的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过 URL 导入功能,强制 OpenSift 请求不安全的资源,从而可能访问私有网络资源。该漏洞影响 OpenSift 版本 1.1.2-alpha 及更早版本,已在 1.1.3-alpha 版本中修复。
攻击者可以利用此 SSRF 漏洞,通过控制导入到 OpenSift 的 URL,强制系统访问内部网络资源,例如数据库、管理界面或其他敏感服务。攻击者可能能够探测内部网络结构,获取敏感信息,甚至可能利用 SSRF 漏洞执行进一步的攻击,例如读取本地文件或访问其他内部服务。由于 OpenSift 使用 AI 研究,数据泄露可能涉及敏感的 AI 模型或训练数据。
该漏洞已于 2026 年 2 月 20 日公开披露。目前尚无公开的 PoC 代码,但 SSRF 漏洞通常易于利用。由于其潜在的影响,该漏洞被认为是具有中等风险的。建议密切关注该漏洞的动态,并及时采取缓解措施。
Organizations utilizing OpenSift for AI-powered data analysis, particularly those with sensitive data residing on internal networks, are at risk. Environments where OpenSift is configured to ingest URLs from untrusted sources are especially vulnerable. Shared hosting environments where OpenSift instances share the same network namespace also face increased risk.
• python / server:
# Check for suspicious outbound requests in OpenSift logs
grep -i 'https://' /var/log/opensift/access.log | grep -i 'internal.network'• generic web:
# Check for unexpected outbound connections using netstat
netstat -tulnp | grep -i 'internal.network'disclosure
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
最有效的缓解措施是升级到 OpenSift 1.1.3-alpha 或更高版本。如果无法立即升级,可以考虑使用 OPENSIFTALLOWPRIVATE_URLS=true 环境变量进行临时缓解,但请谨慎使用,因为它会放宽 URL 访问限制。 此外,建议对 URL 导入功能进行严格的输入验证,只允许来自可信来源的 URL。 监控 OpenSift 日志,查找异常的网络请求,可以帮助及早发现潜在的攻击。
升级 OpenSift 到 1.1.3-alpha 或更高版本。如果无法立即升级,请谨慎使用 OPENSIFT_ALLOW_PRIVATE_URLS=true 选项,并且仅当您信任本地例外时才使用。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27170 是 OpenSift 版本 ≤ 1.1.3-alpha 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 URL 导入功能访问内部资源。
如果您正在使用 OpenSift 1.1.2-alpha 或更早版本,则可能受到此漏洞的影响。请立即升级到 1.1.3-alpha 或更高版本。
升级到 OpenSift 1.1.3-alpha 或更高版本是修复此漏洞的最佳方法。如果无法升级,请谨慎使用 OPENSIFTALLOWPRIVATE_URLS=true 环境变量。
目前尚无公开的利用案例,但由于 SSRF 漏洞通常易于利用,建议密切关注该漏洞的动态。
请访问 OpenSift 官方网站或 GitHub 仓库,查找关于 CVE-2026-27170 的安全公告。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。