MEDIUMCVE-2026-39921

GeoNode < 4.4.5, 5.0.2 通过文档上传的 SSRF

Q: CVE-2026-39921 是什么 — GeoNode 中的 SSRF？

SSRF (Server-Side Request Forgery) 是一种漏洞，它允许攻击者使服务器向攻击者控制的资源发送请求。这可能允许访问内部资源或操纵其他系统。

Q: GeoNode 中的 CVE-2026-39921 是否会影响我？

需要在 GeoNode 中具有有效的凭据和文档上传权限。

Q: 如何修复 GeoNode 中的 CVE-2026-39921？

GeoNode 4.0 之前的 4.4.5 版本和 5.0 之前的 5.0.2 版本容易受到攻击。

Q: CVE-2026-39921 是否正在被积极利用？

检查您使用的 GeoNode 版本。如果它早于 4.4.5 或 5.0.2，则容易受到攻击。

Q: 在哪里可以找到 GeoNode 关于 CVE-2026-39921 的官方安全通告？

作为临时解决方法，您可以实施 URL 黑名单以限制对特定域的外部 HTTP 请求。

平台

python

组件

geonode

修复版本

4.4.5

5.0.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

GeoNode存在一个服务器端请求伪造(SSRF)漏洞，允许具有文档上传权限的经过身份验证的用户通过提供恶意URL来触发任意外部HTTP请求。该漏洞影响GeoNode 4.0.0到5.0.2版本，攻击者可以利用此漏洞探测内部网络目标。该漏洞已在5.0.2版本中修复。

影响与攻击场景

CVE-2026-39921 影响 GeoNode 4.4.5 之前的版本以及 5.0 之前的 5.0.2 版本。此服务器端请求伪造 (SSRF) 漏洞允许具有文档上传权限的经过身份验证的用户通过在文档上传过程中通过 'doc_url' 参数提供的 URL 触发任意外部 HTTP 请求。攻击者可以提供指向内部网络目标、回环地址、RFC1918 地址或云元数据服务的 URL。这可能允许未经授权访问通常无法从外部访问的内部资源，从而损害内部系统的机密性、完整性和可用性。缺乏 SSRF 缓解措施会加剧风险，并允许在利用中获得更大的灵活性。

利用背景

在 GeoNode 中具有有效凭据和文档上传权限的攻击者可以利用此漏洞。例如，攻击者可以提供指向内部数据库服务或包含敏感信息的云元数据服务的 URL。通过在文档上传过程中操作 'doc_url' 参数来利用此漏洞。由于缺乏适当的 URL 验证，攻击者可以控制 HTTP 请求的目标，从而导致请求伪造。成功的利用需要身份验证，但不需要超出文档上传权限的任何特权。

哪些人处于风险中翻译中…

Organizations deploying GeoNode for geospatial data management, particularly those with internal network resources accessible from the GeoNode server, are at risk. Environments with shared hosting or where user permissions are not strictly controlled are especially vulnerable, as a compromised user account could be leveraged to exploit this SSRF vulnerability.

检测步骤翻译中…

• python / server:

# Check GeoNode version
python -c 'import sys; print(sys.version_info)'
# Monitor document upload endpoints for unusual outbound requests in access logs
grep -i 'doc_url=' /var/log/geonode/access.log

• generic web:

# Check for exposed document upload endpoints
curl -I http://<geonode_server>/geonode/upload

攻击时间线

2026-04-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件geonode

供应商GeoNode

影响范围修复版本

4.0.0 – 4.4.54.4.5

5.0.0 – 5.0.25.0.2

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-07
发布日期2026-04-10
修改日期2026-05-08
EPSS 更新日期2026-04-18

披露后-9天发布补丁

缓解措施和替代方案

建议的解决方案是将 GeoNode 升级到 4.4.5 或更高版本，或 5.0.2 或更高版本。这些版本包含用于缓解 SSRF 漏洞的修复程序。此外，请审查并加强访问控制策略，以仅将文档上传权限限制给授权用户。实施对用户提供的 URL 的严格验证和清理对于防止未来的 SSRF 漏洞至关重要。监控服务器日志以查找与外部 HTTP 请求相关的可疑活动可以帮助检测和响应潜在攻击。

修复方法翻译中…

Actualice GeoNode a la versión 4.4.5 o superior, o a la versión 5.0.2 o superior para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF).  Esta actualización corrige el problema al validar las URLs proporcionadas durante la carga de documentos, evitando que se realicen solicitudes no autorizadas a recursos internos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-39921 是什么 — GeoNode 中的 SSRF？