平台
nodejs
组件
elecv2p
修复版本
3.8.1
3.8.2
3.8.3
3.8.4
CVE-2026-5016 描述了 elecV2P 中存在的服务器端请求伪造 (SSRF) 漏洞,影响版本为 3.8.0 到 3.8.3。该漏洞存在于 /mock 文件的 eAxios 函数中,允许攻击者构造恶意请求。利用此漏洞可能导致信息泄露。由于项目未响应,暂无修复方案。
在 elecV2 elecV2P 的 3.8.3 及更早版本中,发现了一种服务器端请求伪造 (SSRF) 漏洞。此漏洞位于“URL Handler”组件的“/mock”文件中的“eAxios”函数中。攻击者可以通过操纵“req”参数来强制服务器向非预期的内部或外部资源发送请求。此漏洞的严重程度评分为 CVSS 7.3,表明中等至高风险。公开可用的漏洞利用程序以及项目对漏洞报告的缺乏响应,大大增加了解决此问题的紧迫性。这可能允许攻击者访问敏感信息、执行任意命令或损害系统完整性。
elecV2P 中的 SSRF 漏洞是通过操纵“eAxios”函数中的“req”参数来利用的。攻击者可以注入恶意 URL,强制服务器向内部或外部资源发送请求。公开可用的漏洞利用程序便于执行此攻击。项目缺乏响应进一步加剧了风险,表明可能缺乏维护或安全关注。此漏洞特别令人担忧,因为它允许攻击者绕过安全保护并访问通常无法从外部访问的资源。
Organizations deploying elecV2P versions 3.8.0 through 3.8.3 are at risk, particularly those with internal services accessible from the internet or those using elecV2P in environments with limited network segmentation. Shared hosting environments utilizing this component are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
ps aux | grep elecV2P
netstat -tulnp | grep elecV2P• generic web:
curl -I <elecV2P_URL>/mock?req=<internal_ip>
# Check for response headers indicating internal resource accessdisclosure
漏洞利用状态
EPSS
0.05% (17% 百分位)
CISA SSVC
由于 elecV2P 项目尚未为 CVE-2026-5016 提供修复程序(补丁),因此立即的缓解措施是避免使用 3.8.3 之前的 elecV2P 版本。如果必须使用此版本,则需要在“req”参数输入上实施严格的控制,以防止操纵。这可能包括 URL 验证、允许的域白名单以及将请求限制为特定资源。此外,应积极监控服务器日志,以查找与外部请求相关的可疑活动。我们强烈建议直接联系 elecV2P 开发团队,以请求更新并提供有关漏洞的信息。
更新到已修复 elecV2P 版本,以缓解 /mock 文件中 eAxios 函数的服务器端请求伪造 (SSRF) 漏洞。目前没有可用的修复版本,建议关注项目的更新,并在发布补丁后立即应用。作为临时措施,仔细检查并验证 eAxios 函数的输入,以避免未经授权的请求。
漏洞分析和关键警报直接发送到您的邮箱。
SSRF(服务器端请求伪造)是一种漏洞,允许攻击者强制服务器向内部或外部资源发送请求。
它允许攻击者访问敏感信息、执行任意命令或损害系统完整性。
避免使用 3.8.3 之前的版本,并联系开发团队以获取更新。
对“req”参数输入实施严格控制,并监控服务器日志。
验证输入数据、使用域白名单并将请求限制为特定资源。
CVSS 向量