CVE-2026-32301 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Centrifugo 动态 JWKS 端点 URL 配置不当。 💥 **后果**:触发 **SSRF**(服务端请求伪造),攻击者可绕过身份验证。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-918(SSRF 漏洞)。 📍 **缺陷点**:对 **动态 JWKS URL** 的校验缺失或逻辑错误,导致不可信输入被服务端处理。
Q3影响谁?(版本/组件)
📦 **组件**:Centrifugo(实时消息推送服务器)。 🏢 **厂商**:Centrifugal Labs。 📅 **版本**:**6.7.0 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需认证(**PR:N**)。 📊 **数据**:可读取敏感内部资源(**C:H**),轻微篡改配置(**I:L**)。 🎯 **能力**:利用特制 JWT 发起 SSRF 攻击。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 ✅ **认证**:无需登录。 🖱️ **交互**:无需用户点击。 🌐 **网络**:网络可达即可利用(**AV:N, AC:L**)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:当前数据中 **无** 公开 PoC 代码。 🔥 **在野**:暂无在野利用报告。 🔗 **参考**:[GitHub Advisory](https://github.com/centrifugal/centrifugo/security/advisories/GHSA-j77h-rr39-c552)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Centrifugo 版本是否 **< 6.7.0**。 ⚙️ **配置**:审查是否使用了 **动态 JWKS URL** 配置。 🛡️ **扫描**:使用 SSRF 扫描器检测 JWKS 端点是否可访问内网。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:官方已发布安全公告。 ✅ **修复**:升级至 **6.7.0 或更高版本** 即可修复。 📅 **时间**:2026-03-12 公布。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法升级,**禁用** 动态 JWKS URL 功能。 🔒 **限制**:仅允许配置静态、可信的 JWKS 端点 URL。 🚫 **网络**:在防火墙层面限制 Centrifugo 对内部网络的访问。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📈 **理由**:CVSS 评分高(**S:C** 影响范围扩大),无需认证即可利用,且涉及 SSRF 核心风险。 🚀 **建议**:立即评估版本,尽快升级。