漏洞说明

echo是LabStack LLC开源的一个高性能、极简的 Go web 框架。
LabStack LLC echo v4.8.0 版本存在安全漏洞,该漏洞源于 Static Handler 组件存在开放重定向问题,可能导致服务器端请求伪造(SSRF)。

影响版本

  • LabStack LLC echo v4.8.0

漏洞复现

payload: //{dnslog}%2f..
CVE-2022-40083.png

修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/labstack/echo/issues/2259