MEDIUMCVE-2026-5623CVSS 6.3

hcengineering Huly Platform 导入端点 index.ts 服务器端请求伪造

平台

nodejs

组件

huly-platform

修复版本

0.7.383

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5623 是一个安全漏洞，影响 Huly Platform 0.7.382 版本。该漏洞存在于 Import Endpoint 组件的文件 server/front/src/index.ts 中，可能导致服务器端请求伪造 (SSRF)。远程攻击者可以利用此漏洞，已公开披露，但厂商未响应。

影响与攻击场景

在 hcengineering 的 Huly Platform 中，已识别出服务器端请求伪造 (SSRF) 漏洞，具体版本为 0.7.382。该漏洞存在于 Import Endpoint 组件中，位于 file server/front/src/index.ts 文件。远程攻击者可能利用此漏洞向通常无法从外部访问的内部资源发送请求。这可能包括访问敏感数据、在服务器上执行命令，或破坏其他内部系统。根据 CVSS，该漏洞的严重程度评分为 6.3。供应商对早期披露通知的回应不足加剧了情况，使用户没有官方修复。

利用背景

Huly Platform 0.7.382 中的 SSRF 漏洞允许远程攻击者操纵 Import Endpoint 以向任何指定的 URL 发送请求。漏洞的公开可用性使恶意行为者更容易利用，无论其技术水平如何。Import Endpoint 中对用户输入的验证不足是该漏洞的根本原因。例如，攻击者可以使用此漏洞扫描内部网络以查找公开的服务，访问机密的配置文件，或与内部云服务交互。

哪些人处于风险中翻译中…

Organizations deploying Huly Platform in environments with sensitive internal resources are at significant risk. Specifically, deployments where the platform interacts with internal APIs or databases without proper network segmentation are particularly vulnerable. Shared hosting environments where multiple users share the same Huly Platform instance should also be considered high-risk.

检测步骤翻译中…

• nodejs: Monitor process execution for unusual outbound network connections originating from the Huly Platform process. Use lsof or netstat to identify connections to unexpected internal or external hosts.

lsof -i -p $(pidof huly-platform)

• nodejs: Examine application logs for suspicious HTTP requests or error messages related to URL parsing or redirection. Look for patterns indicative of SSRF attempts.

grep -i 'url:' /var/log/huly-platform/access.log

• generic web: Use curl to test for SSRF by attempting to access internal resources through the vulnerable endpoint.

curl -v http://<huly_platform_ip>/import?url=http://169.254.169.254/metadata/instance-id

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (11% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件huly-platform

供应商hcengineering

影响范围修复版本

0.7.382 – 0.7.3820.7.383

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-05
发布日期2026-04-06
EPSS 更新日期2026-04-13

未修复 — 披露已48天

缓解措施和替代方案

鉴于供应商未提供修复程序，使用 Huly Platform 0.7.382 的组织应立即采取缓解措施。这些措施包括实施 Web 应用程序防火墙 (WAF) 以过滤恶意请求，限制 Import Endpoint 对内部资源的访问，并仔细验证用于构建 URL 的所有用户输入。强烈建议升级到更安全的 Huly Platform 版本，一旦可用。在此期间，积极监控服务器日志以查找可疑活动至关重要。考虑网络隔离以限制成功利用的潜在影响。

修复方法翻译中…

Actualice la plataforma Huly a una versión corregida.  Revise el código fuente en `src/index.ts` para identificar y mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor.  Implemente validaciones de entrada robustas para prevenir la manipulación de URLs.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5623 是什么 — Huly Platform 中的漏洞？

SSRF (Server-Side Request Forgery) 是一种漏洞，允许攻击者强制服务器向通常无法从外部访问的资源发送请求。

Huly Platform 中的 CVE-2026-5623 是否会影响我？

这意味着用于利用漏洞的代码或指令公开可用，从而增加了攻击的风险。

如何修复 Huly Platform 中的 CVE-2026-5623？

实施缓解措施，例如 WAF、访问限制和日志监控。

CVE-2026-5623 是否正在被积极利用？

供应商的回应不足令人担忧，并且难以获得官方修复。建议直接联系供应商表达您的担忧。

在哪里可以找到 Huly Platform 关于 CVE-2026-5623 的官方安全通告？

如果您正在使用 Huly Platform 的 0.7.382 版本，则很可能容易受到攻击。进行渗透测试以确认漏洞。