SSRF Vulnerability in @ucp/http via OpenAPI servers URL (CVE-2026-4468)

漏洞概述 漏洞名称: SSRF via attacker-controlled OpenAPI servers[0].url in HTTP communication protocol 漏洞描述: 该漏洞存在于 包中，导致盲服务器端请求伪造（SSRF）。 漏洞原因是信任边界不一致：在手动发现和工具调用之间， 验证了发现 URL，但 重新使用了未经验证的 。 攻击者可以托管恶意 OpenAPI 规范，并在合法 HTTPS 端点上声明 或 ，从而让转换器生成指向代理主机内部服务的 URL。 另一个前缀绕过也影响了发现时间检查：之前的 守卫让 URL 如 通过。 影响范围 受影响版本: (npm) <= 1.1.1 修复版本: 1.1.2 严重程度: 4.7 / 10 CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 所需权限: 无 - 用户交互: 需要 - 范围: 改变 - 机密性: 低 - 完整性: 低 - 可用性: 无 修复方案 补丁: - 提交于 - 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。 - 所有协议 现在调用 。 使用 立即重新检查解析的 URL。 - 拒绝远程规范 - 循环重定向变体。 工作区 对于无法立即升级的用户： - 拒绝调用 ，任何由不受信任的页面控制的 URL，即使通过 HTTPS。 - 限制从运行代理的主机到内部地址（RFC1918, 169.254.0.0/16, loopback）的出站网络访问。 信用 由 YLChen-007 发现并报告，针对 Python 兄弟实现（ ）。 TypeScript 端口共享相同的代码形状和相同的漏洞。 姐妹建议 这是 对应版本（GHSA-c396-4b67-gg9v / CVE-2026-4468）在 Python 包中的相同漏洞，修复了形状，相同的报告者。 版本和补丁状态 - 易受攻击。两个循环重定向（ ）和非循环内部 IP 变体（例如 , ）成功。注意： 和 路径在 1.1.1 中是 TODO 占位符，不实际获取 URL，因此当前协议中的 SSRF 表面目前仅限于发现 - 未来实现必须也调用 在发出请求之前。 - 完整修复。运行时重新验证在 中关闭了非循环变体； 拒绝，在转换时间，任何从非循环源获取的规范声明循环 ，关闭循环重定向变体。 影响 远程攻击者可以说服代理（通过 LLM 上下文、提示注入或工具发现表面）注册其 HTTPS OpenAPI URL，可以： - 映射代理后面的内部网络。 - 从云元数据端点读取 AWS/GCP IAM 凭证（ , ）。 - 访问暴露在循环上的未认证内部服务（Elasticsearch, Redis HTTP, 内部管理面板，代理自己的 HTTP 服务器）。 - 收到返回给 LLM 的响应，结合提示注入，使攻击者能够提取数据。 补丁 提交于 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。 所有协议 现在调用 。 使用 立即重新检查解析的 URL。 拒绝远程规范 - 循环重定向变体。 工作区 对于无法立即升级的用户： - 拒绝调用 ，任何由不受信任的页面控制的 URL，即使通过 HTTPS。 - 限制从运行代理的主机到内部地址（RFC1918, 169.254.0.0/16, loopback）的出站网络访问。 信用 由 YLChen-007 发现并报告，针对 Python 兄弟实现（ ）。 TypeScript 端口共享相同的代码形状和相同的漏洞。 姐妹建议 这是 对应版本（GHSA-c396-4b67-gg9v / CVE-2026-4468）在 Python 包中的相同漏洞，修复了形状，相同的报告者。 版本和补丁状态 - 易受攻击。两个循环重定向（ ）和非循环内部 IP 变体（例如 , ）成功。注意： 和 路径在 1.1.1 中是 TODO 占位符，不实际获取 URL，因此当前协议中的 SSRF 表面目前仅限于发现 - 未来实现必须也调用 在发出请求之前。 - 完整修复。运行时重新验证在 中关闭了非循环变体； 拒绝，在转换时间，任何从非循环源获取的规范声明循环 ，关闭循环重定向变体。 影响 远程攻击者可以说服代理（通过 LLM 上下文、提示注入或工具发现表面）注册其 HTTPS OpenAPI URL，可以： - 映射代理后面的内部网络。 - 从云元数据端点读取 AWS/GCP IAM 凭证（ , ）。 - 访问暴露在循环上的未认证内部服务（Elasticsearch, Redis HTTP, 内部管理面板，代理自己的 HTTP 服务器）。 - 收到返回给 LLM 的响应，结合提示注入，使攻击者能够提取数据。 补丁 提交于 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。 所有协议 现在调用 。 使用 立即重新检查解析的 URL。 拒绝远程规范 - 循环重定向变体。 工作区 对于无法立即升级的用户： - 拒绝调用 ，任何由不受信任的页面控制的 URL，即使通过 HTTPS。 - 限制从运行代理的主机到内部地址（RFC1918, 169.254.0.0/16, loopback）的出站网络访问。 信用 由 YLChen-007 发现并报告，针对 Python 兄弟实现（ ）。 TypeScript 端口共享相同的代码形状和相同的漏洞。 姐妹建议 这是 对应版本（GHSA-c396-4b67-gg9v / CVE-2026-4468）在 Python 包中的相同漏洞，修复了形状，相同的报告者。 版本和补丁状态 - 易受攻击。两个循环重定向（ ）和非循环内部 IP 变体（例如 , ）成功。注意： 和 路径在 1.1.1 中是 TODO 占位符，不实际获取 URL，因此当前协议中的 SSRF 表面目前仅限于发现 - 未来实现必须也调用 在发出请求之前。 - 完整修复。运行时重新验证在 中关闭了非循环变体； 拒绝，在转换时间，任何从非循环源获取的规范声明循环 ，关闭循环重定向变体。 影响 远程攻击者可以说服代理（通过 LLM 上下文、提示注入或工具发现表面）注册其 HTTPS OpenAPI URL，可以： - 映射代理后面的内部网络。 - 从云元数据端点读取 AWS/GCP IAM 凭证（ , ）。 - 访问暴露在循环上的未认证内部服务（Elasticsearch, Redis HTTP, 内部管理面板，代理自己的 HTTP 服务器）。 - 收到返回给 LLM 的响应，结合提示注入，使攻击者能够提取数据。 补丁 提交于 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。 所有协议 现在调用 。 使用 立即重新检查解析的 URL。 拒绝远程规范 - 循环重定向变体。 工作区 对于无法立即升级的用户： - 拒绝调用 ，任何由不受信任的页面控制的 URL，即使通过 HTTPS。 - 限制从运行代理的主机到内部地址（RFC1918, 169.254.0.0/16, loopback）的出站网络访问。 信用 由 YLChen-007 发现并报告，针对 Python 兄弟实现（ ）。 TypeScript 端口共享相同的代码形状和相同的漏洞。 姐妹建议 这是 对应版本（GHSA-c396-4b67-gg9v / CVE-2026-4468）在 Python 包中的相同漏洞，修复了形状，相同的报告者。 版本和补丁状态 - 易受攻击。两个循环重定向（ ）和非循环内部 IP 变体（例如 , ）成功。注意： 和 路径在 1.1.1 中是 TODO 占位符，不实际获取 URL，因此当前协议中的 SSRF 表面目前仅限于发现 - 未来实现必须也调用 在发出请求之前。 - 完整修复。运行时重新验证在 中关闭了非循环变体； 拒绝，在转换时间，任何从非循环源获取的规范声明循环 ，关闭循环重定向变体。 影响 远程攻击者可以说服代理（通过 LLM 上下文、提示注入或工具发现表面）注册其 HTTPS OpenAPI URL，可以： - 映射代理后面的内部网络。 - 从云元数据端点读取 AWS/GCP IAM 凭证（ , ）。 - 访问暴露在循环上的未认证内部服务（Elasticsearch, Redis HTTP, 内部管理面板，代理自己的 HTTP 服务器）。 - 收到返回给 LLM 的响应，结合提示注入，使攻击者能够提取数据。 补丁 提交于 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。 所有协议 现在调用 。 使用 立即重新检查解析的 URL。 拒绝远程规范 - 循环重定向变体。 工作区 对于无法立即升级的用户： - 拒绝调用 ，任何由不受信任的页面控制的 URL，即使通过 HTTPS。 - 限制从运行代理的主机到内部地址（RFC1918, 169.254.0.0/16, loopback）的出站网络访问。 信用 由 YLChen-007 发现并报告，针对 Python 兄弟实现（ ）。 TypeScript 端口共享相同的代码形状和相同的漏洞。 姐妹建议 这是 对应版本（GHSA-c396-4b67-gg9v / CVE-2026-4468）在 Python 包中的相同漏洞，修复了形状，相同的报告者。 版本和补丁状态 - 易受攻击。两个循环重定向（ ）和非循环内部 IP 变体（例如 , ）成功。注意： 和 路径在 1.1.1 中是 TODO 占位符，不实际获取 URL，因此当前协议中的 SSRF 表面目前仅限于发现 - 未来实现必须也调用 在发出请求之前。 - 完整修复。运行时重新验证在 中关闭了非循环变体； 拒绝，在转换时间，任何从非循环源获取的规范声明循环 ，关闭循环重定向变体。 影响 远程攻击者可以说服代理（通过 LLM 上下文、提示注入或工具发现表面）注册其 HTTPS OpenAPI URL，可以： - 映射代理后面的内部网络。 - 从云元数据端点读取 AWS/GCP IAM 凭证（ , ）。 - 访问暴露在循环上的未认证内部服务（Elasticsearch, Redis HTTP, 内部管理面板，代理自己的 HTTP 服务器）。 - 收到返回给 LLM 的响应，结合提示注入，使攻击者能够提取数据。 补丁 提交于 新辅助包 暴露了 、 、 。基于主机的验证关闭了前缀绕过（ 被拒绝）。

目標達成すべての支援者に感謝 — 100%達成しました！

SSRF Vulnerability in @ucp/http via OpenAPI servers URL (CVE-2026-4468)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

SSRF Vulnerability in @ucp/http via OpenAPI servers URL (CVE-2026-4468)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！