🔴 严重 | CVE-2026-59702 — repomix contains a server-side request forgery vul...
🔴 《严重安全漏洞:CVE-2026-59702》
CVSS 评分: 严重(9.2) 状态: Received 发布时间: 2026-07-08
漏洞简介
CVE-2026-59702 是一个存在于 repomix 项目中的服务端请求伪造(Server-Side Request Forgery, SSRF) 漏洞,对应 CWE-918 分类。该漏洞位于 POST /api/pack 接口中,攻击者无需身份认证即可利用该接口发起任意的出站网络请求。
具体来说,该接口在处理用户提交的仓库 URL 时,未能对 http://、https:// 以及 file:// 协议进行充分的验证和过滤。这些 URL 会被直接传递给 git clone 命令执行,导致攻击者可以构造恶意请求,访问内部网络资源、云服务元数据接口或读取服务器本地文件系统。
影响范围
- 受影响组件:repomix(开源项目,仓库地址:https://github.com/yamadashy/repomix)
- 受影响接口:
POST /api/pack - 漏洞类型:服务端请求伪造(SSRF)
- 修复版本:请参考官方 commit 记录(https://github.com/CrazyForks/repomix/commit/c748b524f41225e7fc6f89ad0084520901a453cf)以及 issue #1703 中的讨论,及时更新至修复后的版本。
风险分析
该漏洞的 CVSS 4.0 评分为 9.3(严重),攻击向量为网络远程攻击,无需任何权限或用户交互,攻击复杂度低。
可能的攻击后果包括:
- 内网探测与横向移动:攻击者可利用
http://或https://协议,向内部网络中的其他主机发起请求,探测开放端口、服务信息,甚至尝试利用内网中其他服务的漏洞进行横向渗透。 - 云服务元数据泄露:在云环境(如 GCP、AWS、Azure)中,攻击者可通过构造指向云元数据服务(如 GCP 的
http://metadata.google.internal)的 URL,获取实例的临时凭证、密钥、配置信息等敏感数据,可能导致云资源被完全控制。 - 本地文件读取:通过
file://协议,攻击者可以读取服务器上的任意文件,例如/etc/passwd、应用配置文件、源代码、数据库凭证等,造成敏感信息泄露。 - 拒绝服务(Denial of Service):攻击者可构造指向高延迟或大文件下载的 URL,消耗服务器资源,导致服务响应缓慢或崩溃。
总结:该漏洞允许未经认证的远程攻击者绕过访问控制,将服务器作为跳板发起内部攻击、窃取云凭证或读取本地敏感文件,风险极高,建议立即修复。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-59702 |
| CVSS 评分 | 9.2 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-918 |
| 发布时间 | 2026-07-08 |
| 最后更新 | 2026-07-08 |
| 状态 | Received |
| 数据来源 | disclosure@vulncheck.com |
🔗 参考链接
💬 评论