Sliver C2 服务器漏洞致攻击者可读取流量

据Cybersecuritynews消息，Sliver C2框架的teamserver实现中发现严重的服务器端请求伪造（SSRF）漏洞（CVE-2025-27090），攻击者可通过受影响服务器建立未经授权的TCP连接。1.5.26至1.5.42 版本以及特定提交前的预发布版本均受影响，该漏洞会导致红队基础设施面临IP泄露、横向移动和流量拦截风险。 漏洞存在于协议处理程序对植入注册和隧道创建序列的处理中，攻击者能通过精心构造的植入回调绕过防护措施。目前，该漏洞已在特定提交中通过改进会话验证和隧道创建检查得到修复。