平台
python
组件
curl-cffi
修复版本
0.15.1
0.15.0
CVE-2026-33752 是 curl-cffi 库中的一个服务器端请求伪造 (SSRF) 漏洞。由于 curl-cffi 未限制对内部 IP 范围的请求,并且自动通过底层 libcurl 进行重定向,攻击者可以利用此漏洞访问内部服务。该漏洞影响 curl-cffi 版本小于或等于 0.9.0b2 的用户,建议升级至 0.15.0 版本以修复此问题。
此 SSRF 漏洞允许攻击者通过构造恶意的 URL 重定向请求,访问内部网络中的敏感资源。攻击者可以利用此漏洞访问云元数据端点,获取云服务器的配置信息,例如 API 密钥、实例 ID 等。此外,curl-cffi 的 TLS 身份欺骗功能可能会使这些请求看起来像是合法的浏览器流量,从而绕过某些网络安全控制。攻击者可能利用这些信息进行进一步的攻击,例如横向移动、数据窃取或权限提升。
目前尚无公开的利用代码 (PoC),但该漏洞的潜在影响较高。由于 SSRF 漏洞通常易于利用,因此建议尽快采取缓解措施。该漏洞已于 2026 年 4 月 3 日公开披露。CISA 尚未将其添加到 KEV 目录,但其 CVSS 评分为高,表明存在中等概率被利用。
Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.
• python / library:
import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip().split('\n')[0]
if version <= '0.9.0b2':
print('Vulnerable version of curl-cffi detected!')• generic web:
curl -I https://your-application-url/ | grep -i 'Server:'• generic web:
curl -I https://your-application-url/ | grep -i 'X-Powered-By:'disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
为了缓解 CVE-2026-33752 漏洞,首要措施是立即升级 curl-cffi 至 0.15.0 或更高版本。如果无法立即升级,可以考虑使用网络防火墙 (WAF) 或代理服务器来限制对内部 IP 范围的请求。此外,可以配置 curl-cffi 的 TLS 身份欺骗功能,以防止攻击者伪造请求。在升级后,请验证修复是否成功,例如通过尝试访问内部服务,确认请求被正确阻止。
将 curl_cffi 库更新到 0.15.0 或更高版本以缓解漏洞。此更新限制对内部 IP 范围的请求并修复了重定向问题,从而防止未经授权访问内部服务。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33752 是 curl-cffi 库中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者访问内部服务。
如果您使用的是 curl-cffi 版本小于或等于 0.9.0b2,则可能受到影响。
建议升级 curl-cffi 至 0.15.0 或更高版本。
目前尚无公开的利用代码,但由于 SSRF 漏洞通常易于利用,建议尽快采取缓解措施。
请访问 curl-cffi 的官方 GitHub 仓库或相关安全公告网站获取更多信息。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。