CVE-2026-33953 是 LinkAce 软件中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许经过身份验证的用户触发服务器端请求,访问内部服务。受影响的版本包括 LinkAce 2.5.3 之前的版本。通过升级到 2.5.3 版本可以解决此问题。
攻击者可以利用此 SSRF 漏洞,绕过 LinkAce 服务器的网络隔离,访问内部服务。例如,攻击者可能能够扫描内部网络,访问内部数据库或 API,甚至执行未经授权的操作。由于 LinkAce 通常部署在具有广泛网络访问权限的环境中,因此此漏洞的潜在影响非常大。攻击者可以利用此漏洞获取敏感数据,破坏系统完整性,或进行横向移动。
此漏洞已公开披露,且 CVSS 评分为高危。目前尚无公开的利用程序,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。CISA 尚未将其添加到 KEV 目录中。建议密切关注漏洞信息,并及时采取缓解措施。
Organizations using LinkAce for link archiving, particularly those with internal services accessible from the LinkAce server, are at risk. Shared hosting environments where LinkAce is installed alongside other applications could also be vulnerable if the LinkAce instance is compromised.
• php / server:
grep -r "internal_hostname" /path/to/linkace/config.php• generic web:
curl -I http://your-linkace-instance/internal-resourceCheck the response headers for internal IP addresses or hostnames.
disclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
最有效的缓解措施是立即将 LinkAce 升级到 2.5.3 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 LinkAce 服务器的网络访问权限,只允许其访问必要的内部服务。实施严格的身份验证和授权控制,以防止未经授权的用户访问 LinkAce。监控 LinkAce 服务器的网络流量,以检测可疑活动。在 Web 应用防火墙 (WAF) 中配置规则,以阻止 SSRF 攻击。
将 LinkAce 更新到 2.5.3 或更高版本。此版本修复了允许经过身份验证的用户通过内部主机名解析向内部服务发起请求的 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33953 是 LinkAce 软件中发现的服务器端请求伪造 (SSRF) 漏洞,影响版本小于等于 2.5.3 的 LinkAce 实例。攻击者可以利用此漏洞访问内部服务。
如果您正在使用 LinkAce 版本小于 2.5.3,则您可能受到此漏洞的影响。请立即升级到最新版本。
最有效的修复方法是升级到 LinkAce 2.5.3 或更高版本。如果无法立即升级,请限制 LinkAce 服务器的网络访问权限。
目前尚无公开的利用程序,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。建议密切关注漏洞信息。
请访问 LinkAce 官方网站或 GitHub 仓库,查找关于 CVE-2026-33953 的安全公告。
CVSS 向量