CVE-2026-24117: CWE-918: Sigstore Rekor中的服务器端请求伪造(SSRF)
严重性:中等 类型:漏洞 CVE:CVE-2026-24117
CVE-2026-24117 是 sigstore 的 rekor 组件在 1.4.3 及以下版本中存在的一个服务器端请求伪造(SSRF)漏洞。该漏洞源于 /api/v1/index/retrieve 端点,该端点允许通过用户提供的 URL 检索公钥,从而能够向任意内部服务发起 SSRF GET 请求。尽管由于响应不会返回给调用者,该 SSRF 无法改变状态或泄露数据,但它允许攻击者对内部网络进行盲 SSRF 探测。该问题已在版本 1.5.0 中修复,临时的缓解措施是使用 --enable_retrieve_api=false 标志禁用易受攻击的端点。CVSS 评分为 5.3(中等严重性),反映了对机密性的有限影响,并且对完整性和可用性没有影响。
技术摘要
CVE-2026-24117 标识了 sigstore rekor 软件供应链透明日志中的一个服务器端请求伪造(SSRF)漏洞,具体影响 1.4.3 及更早版本。该漏洞存在于 /api/v1/index/retrieve 端点,该端点接受用户提供的 URL 来检索公钥。此功能允许攻击者诱使服务器向任意内部或外部 URL 发送 HTTP GET 请求。由于仅支持 GET 请求,攻击者无法更改目标服务的状态。此外,服务器不会将响应内容返回给攻击者,从而防止直接的数据泄露。然而,攻击者可以进行盲 SSRF 攻击,利用服务器作为代理探测内部网络资源,并可能绘制内部基础设施图或识别易受攻击的服务。这种侦察能力可以作为更复杂攻击链的初步步骤。该漏洞被归类为 CWE-918(服务器端请求伪造)。该问题已在 rekor 版本 1.5.0 中得到解决,该版本禁用或保护了易受攻击的端点。作为临时的变通方案,管理员可以通过设置 --enable_retrieve_api=false 来禁用 /api/v1/index/retrieve 端点。CVSS v3.1 基础评分为 5.3,反映了网络攻击向量、低攻击复杂性、无需权限、无需用户交互以及对机密性的有限影响。截至发布日期(2026年1月22日),尚未有野外利用报告。
潜在影响
对于欧洲组织而言,此 SSRF 漏洞的影响主要在于内部网络侦察的潜在风险。在其软件供应链流程中使用 1.5.0 之前版本 sigstore rekor 的组织,可能会无意中将内部服务暴露给利用此 SSRF 缺陷的攻击者进行探测。这可能导致发现敏感的内部端点、配置错误或易受攻击的服务,这些都可能成为后续攻击的目标。虽然该漏洞不允许直接数据泄露或状态更改,但通过盲 SSRF 收集的信息可以促进网络内的横向移动或权限提升。鉴于软件供应链安全在保护软件完整性方面的关键作用,该领域的任何入侵或侦察都可能破坏对软件来源的信任,并增加供应链攻击的风险。中等严重性评级表明风险适中,但欧洲供应链基础设施的战略重要性提升了对及时补救的需求。缺乏已知漏洞利用会降低直接风险,但并不能消除威胁,尤其是在攻击者经常在公开披露后开发漏洞利用的情况下。
缓解建议
欧洲组织应优先将 sigstore rekor 升级到 1.5.0 或更高版本,在该版本中漏洞已完全解决。如果无法立即升级,管理员应通过设置配置标志 --enable_retrieve_api=false 来禁用易受攻击的 /api/v1/index/retrieve 端点,以防止 SSRF 利用。应实施网络分段和严格的出口过滤,以限制内部服务发出任意出站请求的能力,从而减少 SSRF 影响。监控和记录来自 rekor 服务器的出站 HTTP 请求有助于检测异常的 SSRF 活动。此外,组织应进行内部网络扫描和审计,以识别和保护任何可能通过 SSRF 发现的暴露或易受攻击的内部服务。将 SSRF 检测规则纳入 Web 应用程序防火墙(WAF)和入侵检测系统(IDS)可以提供额外的防御层。最后,整合供应链安全最佳实践,包括对供应链工具的定期漏洞评估,将有助于降低类似漏洞带来的风险。
受影响国家
德国、法国、英国、荷兰、瑞典、芬兰、比利时
来源:CVE 数据库 V5 发布日期:2026年1月22日,星期四 aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7CwOn9B47zlF1YCZOCVW8q5lqJSs3H71DKI6bot18pWAopPn7fhZYbZWRrFDmNgKu8dbR2f9+NVo78I1Wc5pZLZ
