一、 漏洞 CVE-2025-9821 基础信息
漏洞信息
# Webhook SSRF 漏洞
## 概述
拥有 webhook 权限的用户可以通过 webhooks 发起 SSRF(服务端请求伪造)攻击。在某些情况下,若具备查看 webhook 日志的权限,攻击者还可能获取部分请求响应内容。
## 影响版本
未明确给出具体受影响版本。
## 细节
在发送 webhook 时,系统未对目标地址进行有效验证,导致攻击者可将请求发送至内部服务或其他受限资源,从而触发 SSRF 漏洞。
## 影响
此漏洞可被用于绕过防火墙限制,访问内部网络服务。更多信息请参考 [OWASP SSRF Top 10 条目](https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/)。
如需了解如何预防 SSRF,参考 [OWASP SSRF 防御指南](https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html)。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SSRF via webhook function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SummaryUsers with webhook permissions can conduct SSRF via webhooks. If they have permission to view the webhook logs, the (partial) request response is also disclosed
DetailsWhen sending webhooks, the destination is not validated, causing SSRF.
ImpactBypass of firewalls to interact with internal services.
See https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/ for more potential impact.
Resources https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html for more information on SSRF and its fix.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Mautic 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mautic是Mautic开源的一款开源的营销自动化软件。该软件能够监控管理网站、发送电子邮件并管理客户资源。 Mautic存在安全漏洞,该漏洞源于未验证webhook目标,可能导致服务端请求伪造。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9821 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-9821 的情报信息
四、漏洞 CVE-2025-9821 的评论
暂无评论