漏洞描述
imgproxy 全版本在 3.27.2 之前存在服务器端请求伪造(SSRF)漏洞,该漏洞源于即使将 IMGPROXYA_LLOW_LOOPBACK_SOURCE_ADDRESSES 配置项设置为 false,系统仍未拦截对 0.0.0.0 地址的访问请求。攻击者可利用该漏洞构造恶意请求,使服务器发起指向任意地址的网络请求,包括本地环回地址、内网服务地址等,导致本地服务暴露给未授权访问,引发信息泄露、内网服务探测等风险,漏洞利用需具备网络访问条件。
Imgproxy /unsafe/plain 服务器端请求伪造漏洞(CVE-2025-24354)
PoC代码
暂无