CVE-2026-23768CVE-2026-23768是关于naver公司开发的lucy-xss-filter安全过滤库的一个中危漏洞。该漏洞存在于7c1de6d提交之前的所有版本中,CVSS评分为6.1,属于中等严重程度。漏洞的核心问题在于当开发者启用ObjectSecurityListener或EmbedSecurityListener安全监听器选项后,lucy-xss-filter在处理embed或object标签时存在缺陷。具体来说,当这些标签的src属性值缺少文件扩展名时,攻击者可以构造特殊的输入,诱导服务器向攻击者指定的任意URL发送HEAD请求。这种攻击方式属于服务器端请求伪造(SSRF)的一种变体,攻击者可以利用目标服务器对内部网络的信任关系,探测内网资源、访问内部服务或进行进一步的攻击。该漏洞的利用需要用户交互(UI:R),但不需要认证(PR:N),攻击者可以通过诱骗用户访问包含恶意payload的网页来触发漏洞。漏洞于2026年1月16日披露,发现者为[email protected],厂商已在后续版本中修复此问题。
lucy-xss-filter是一个广泛使用的XSS安全过滤库,在处理HTML标签时提供了ObjectSecurityListener和EmbedSecurityListener两个可选的安全监听器。漏洞的技术原理如下:当用户输入包含embed或object标签,且src属性指向一个缺少文件扩展名的URL时,安全过滤器的处理逻辑存在缺陷。正常情况下,过滤器应该验证src属性指向的资源是否为安全的内容类型,但当URL缺少扩展名时,过滤器的类型检测机制失效。攻击者可以利用这一缺陷,构造如下payload:<embed src="http://attacker.com/probe">或<object data="http://attacker.com/internal-api">。当lucy-xss-filter处理这些标签时,会对src/data属性进行验证,但由于URL缺少扩展名,验证逻辑会触发服务器端HEAD请求来检测内容类型,从而建立了从服务器到攻击者指定URL的连接。攻击者可以通过监听这个HEAD请求,不仅获取目标服务器的真实IP地址(绕过基于IP的访问控制),还可以探测内网资源,甚至利用服务器对内部系统的信任发起进一步攻击。修复方案是在7c1de6d提交中改进了对缺少扩展名URL的处理逻辑,增加了更严格的验证和限制。