deco-cx 参数处理漏洞(CVE-2025-13796)
一、漏洞信息
1.漏洞类型:服务器端请求伪造(SSRF,Server-Side Request Forgery)
2.影响产品及版本:deco-cx/apps 应用程序,受影响版本为 0.120.1 及以下版本
3.攻击场景:攻击者可通过构造恶意请求,操纵 Parameter Handler 组件中 website/loaders/analyticsscript.ts 文件内的 AnalyticsScript 函数所处理的 url 参数,诱导服务器向内部或外部任意目标发起HTTP请求,从而实现SSRF攻击。攻击可远程触发,无需用户交互。
4.在野利用情况:漏洞利用方法已在公开渠道披露(如GitHub Pull Request),存在被实际利用的可能性。尽管当前未明确观察到大规模在野攻击,但其利用路径清晰、攻击门槛低,具备较高的实战风险。
5.威胁团伙:暂无明确关联的已知威胁团伙信息,但该漏洞特性与常见自动化攻击工具(如SSRF探测器、内网探测框架)高度契合,可能被APT组织或自动化攻击者用于横向移动、内网探测或数据窃取。
二、安全活动事件分析
事件一:2025年12月1日,deco-cx 项目官方在 GitHub 发布安全更新(https://github.com/deco-cx/apps/pull/1360),修复了 analyticsscript.ts 中对 url 参数未做有效校验的问题,并发布版本 0.120.2,表明该漏洞已被确认并进入修复流程。
事件二:2025年12月1日,安全情报平台 VulDB(https://vuldb.com/?ctiid.333807)收录该漏洞,标注其为“公开利用可能性高”,并提示需立即升级以规避风险。
三、技术分析
分析:该漏洞本质为参数未过滤导致的SSRF,攻击者可构造恶意 url 参数(如 http://127.0.0.1:8080/admin 或 http://internal-api.local),使服务器主动访问内网服务,进而可能泄露敏感信息、绕过访问控制、获取服务器权限或作为跳板进行横向渗透。结合其低攻击复杂度(AC:L)、无需用户交互(UI:N)的特性,该漏洞在自动化攻击中具有较高利用价值。
四、建议措施:
1.立即升级 deco-cx/apps 至 v0.120.2 或更高版本,以修复漏洞。
2.对所有使用该组件的系统进行版本审计,排查是否存在未升级的旧版本实例。
3.在应用层对所有外部输入的 url 参数实施严格白名单校验,禁止访问内网IP(如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)及私有域名。
4.建议部署WAF规则,拦截包含 localhost、127.0.0.1、internal 等关键词的请求。
5.对关键系统启用网络层隔离策略,限制应用服务器对外部请求的访问范围。
五、结论概述
综合开源情报分析,CVE-2025-13796 是一个中危级别的服务器端请求伪造漏洞,影响 deco-cx/apps 项目早期版本。该漏洞利用简单、远程可触发,且已有公开的修复方案与利用路径。尽管尚未发现大规模在野攻击,但其高可利用性与潜在危害性(信息泄露、权限绕过)使其成为攻击者重点关注目标。建议相关组织立即采取升级与加固措施,防止被用于内网渗透或横向移动。