Stirling-PDF Web Application /api/v1/convert/html/pdf 服务器端请求伪造漏洞（CVE-2025-55150）

影响产品：Stirling-PDF CVSS：8.3 漏洞类型：服务器端请求伪造 漏洞描述： Stirling-PDF是一款用于PDF文件操作的Web应用程序。该应用在1.1.0之前的版本中，/api/v1/convert/html/pdf端点存在安全缺陷，由于在调用第三方工具处理请求时缺乏足够的输入过滤，攻击者可利用此漏洞实施服务器端请求伪造(SSRF)攻击。漏洞利用可导致攻击者访问内部网络资源或云服务元数据，建议企业立即升级至1.1.0或更高版本。 影响： SSRF 的核心危害在于打破了服务器的网络访问边界，将攻击面从 “外部可见服务” 扩展到 “服务器可访问的所有资源”（包括内网、本地文件、第三方服务）。 修复建议： 使用防护类设备进行防护，限制访问/api/v1/convert/html/pdf路径，拦截请求中出现的恶意HTML内容。 FOFA： title="Stirling PDF" && body="src=\"/js/thirdParty/fontfaceobserver.standalone.js\""