一、 漏洞 CVE-2022-1711 基础信息
漏洞信息
                                        # jgraph/drawio中的服务端请求伪造(SSRF)

## 概述
在 jgraph/drawio 仓库中存在 Server-Side Request Forgery (SSRF) 漏洞,影响了版本 18.0.4 及之前版本。

## 影响版本
- 18.0.4 及之前版本

## 细节
该漏洞允许攻击者通过构造恶意请求,利用服务器发起对内部或外部特定资源的请求,可能导致敏感信息泄露或其他安全问题。

## 影响
利用此漏洞,攻击者可以发起对内部服务器或其他受信任网络资源的请求,可能导致敏感信息泄露、内网渗透等问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Server-Side Request Forgery (SSRF) in jgraph/drawio
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Server-Side Request Forgery (SSRF) in GitHub repository jgraph/drawio prior to 18.0.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
JGraph draw.io 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
JGraph draw.io是JGraph的一个可配置的图表/白板可视化应用程序。 JGraph draw.io 18.0.6之前版本存在安全漏洞,该漏洞源于 draw.io 存在服务器端请求伪造 (SSRF)漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-1711 的公开POC
# POC 描述 源链接 神龙链接
1 Server-Side Request Forgery (SSRF) vulnerability in draw.io (also known as diagrams.net) prior to version 18.0.5 allows attackers to bypass URL validation restrictions in the ProxyServlet component. The vulnerability exists because the application does not properly validate URLs passed to its proxy endpoint, allowing attackers to make requests to internal services or external servers. This can lead to unauthorized access to internal resources and potential data exfiltration. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-1711.yaml POC详情
三、漏洞 CVE-2022-1711 的情报信息