CVE-2026-28680 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:手动资产导入功能存在 SSRF(服务端请求伪造)。 💥 **后果**:攻击者可读取敏感云元数据,或探测内部网络服务,导致信息泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-918(SSRF)。 🛠️ **缺陷点**:Ghostfolio 在处理**手动资产导入**时,未对用户提供的 URL 进行严格校验,允许服务器发起任意请求。
Q3影响谁?(版本/组件)
📦 **产品**:Ghostfolio(个人财富管理软件)。 📉 **版本**:**2.245.0 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 读取**云元数据**(如 AWS/Azure 实例元数据,可能获取密钥)。 2. 扫描**内网端口**和服务,绘制内部网络拓扑。
Q5利用门槛高吗?(认证/配置)
🔓 **门槛**:**低**。 📊 **CVSS**:AV:N/AC:L/PR:N/UI:N。 ✅ **无需认证**,无需用户交互,网络可达即可利用。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp/PoC**:当前数据中 **pocs 为空**。 ⚠️ 虽无公开代码,但 SSRF 原理成熟,**在野利用风险高**,建议视为高危。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 Ghostfolio 版本是否 < 2.245.0。 2. 审计代码中处理“手动资产导入”的 URL 解析逻辑。 3. 监控服务器出站请求,看是否有异常内网 IP 访问。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已修复。 📅 **补丁版本**:**2.245.0**。 🔗 **参考**:GitHub Security Advisory GHSA-hhv6-c34h-pwgh。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 升级至 **2.245.0+** 是最佳方案。 2. 若无法升级,限制服务器出站网络访问,阻断对云元数据地址(如 169.254.169.254)和内网段的访问。 3. 在导入功能处增加 WAF 规则,过滤恶意 URL。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📈 **理由**:无需认证 + 可读取云密钥 + 内网探测。建议立即升级或实施网络隔离。