一、 漏洞 CVE-2025-61768 基础信息
漏洞信息
                                        # Kuno CMS SSRF 漏洞

## 概述

KUNO CMS 是一个可完全部署的全栈博客应用。在版本 1.3.15 之前,其管理面板的 Media 模块存在 SSRF(服务器端请求伪造)漏洞。

## 影响版本

所有 **1.3.15 之前**的版本。

## 细节

攻击者可通过构造一个包含外部图片引用的恶意 SVG 文件,利用管理员身份上传该文件,诱使服务器主动发起对外部 URL 的连接请求。

## 影响

该漏洞可被用于:

- **信息泄露**
- **探测内部网络**

## 修复

官方已在版本 **1.3.15** 中修复该漏洞。建议用户升级至该版本或更高。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kuno CMS Vulnerable to Server-Side Request Forgery (SSRF) via Unsafe SVG Upload
来源:美国国家漏洞数据库 NVD
漏洞描述信息
KUNO CMS is a fully deployable full-stack blog application. In versions prior to 1.3.15, an SSRF (Server-Side Request Forgery) vulnerability exists in the Media module of the Kuno CMS administrative panel. A logged-in administrator can upload a specially crafted SVG file containing an external image reference, causing the server to initiate an outgoing connection to an arbitrary external URL. This can lead to information disclosure or internal network probing. Version 1.3.15 contains a fix for the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-61768 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-61768 的情报信息

  • 标题: Release Release v1.3.15 · xuemian168/kuno · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Release Release v1.3.15 · xuemian168/kuno · GitHub

  • 标题: Server-Side Request Forgery (SSRF) via Unsafe SVG Upload in Kuno CMS · Advisory · xuemian168/kuno · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    Server-Side Request Forgery (SSRF) via Unsafe SVG Upload in Kuno CMS · Advisory · xuemian168/kuno · GitHub

  • 标题: feat: 强化媒体上传安全性,移除SVG和WebP支持,添加图像元数据自动清理功能 · xuemian168/kuno@804b290 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    feat: 强化媒体上传安全性,移除SVG和WebP支持,添加图像元数据自动清理功能 · xuemian168/kuno@804b290 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-61768
四、漏洞 CVE-2025-61768 的评论

暂无评论

发表评论