📦 v2.1.7
Security / 安全更新
This release fixes a high-severity SSRF issue in fetchWebContent URL validation and request handling.
Fixed issues include:
- bracketed IPv6 literal bypasses in private/local target detection
- hostname-to-private-IP bypasses caused by missing DNS resolution
- redirect-chain validation gaps
- browser-assisted fetch path validation gaps
The fix adds stronger URL target validation, DNS-aware checks, safer redirect handling, and tighter browser-path
request guards.
Users should upgrade to 2.1.7 or later.
Thanks to @shmulik-apiiro for the report and for collaborating on the fix.
本版本修复了 fetchWebContent 在 URL 校验和请求处理中的一个高危 SSRF 问题。
修复内容包括:
- 私网/本地目标检测中对带方括号 IPv6 字面量的绕过
- 由于缺少 DNS 解析导致的 hostname 到私网 IP 的绕过
- redirect 链校验缺口
- browser-assisted 抓取路径中的校验缺口
这次修复加强了 URL 目标校验、增加了基于 DNS 的检查、改进了 redirect 处理,并收紧了浏览器路径下的请求保护。
用户应升级到 2.1.7 或更高版本。
感谢 @shmulik-apiiro 报告该问题并协作完成修复。
Full Changelog
Contributors
shmulik-apiiro