发布日期：2026-02-06
更新日期：2026-04-14

受影响系统：

Homarr Homarr < 1.52.0

描述：

---

CVE(CAN) ID: CVE-2026-25123

Homarr是Thomas Camlong个人开发者的一个可定制的浏览器主页,用于与主服务器的Docker容器进行交互。
Homarr 1.52.0之前版本存在服务器端请求伪造漏洞，该漏洞源于tRPC端点widget.app.ping 接受一个任意URL，并会向该URL发起服务端请求，未经身份验证的攻击者可利用该漏洞从Homarr服务器触发向外发出的HTTP请求，实施服务器端请求伪造攻击。

<*链接：https://github.com/homarr-labs/homarr/security/advisories/GHSA-c6rh-8wj4-gv74
*>

建议：

---

厂商补丁：

Homarr
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/homarr-labs/homarr/security/advisories/GHSA-c6rh-8wj4-gv74

浏览次数：17
严重程度：0（网友投票）