CVE-2025-31960HCL BigFix Service Management (SM) 的报告模块中存在因错误处理不当导致的信息泄露漏洞。攻击者可以通过在查看报告的请求中向 `consumer_company` 参数提供无效或超出范围的值,触发应用程序未处理的异常。该漏洞允许未经身份验证的远程攻击者利用网络接口,无需用户交互即可获取敏感的系统信息。
该漏洞根因在于 HCL BigFix Service Management 报告模块对特定输入参数的校验逻辑存在缺陷。具体而言,当系统处理报表查看请求时,未对 `consumer_company` 参数实施严格的数据类型及范围验证。攻击者可利用此缺陷,向该参数提交精心构造的无效值或越界数据。由于应用程序缺乏完善的异常捕获与处理机制,此类异常输入将导致后端服务触发未处理的异常。在异常抛出的过程中,系统可能会将详细的错误堆栈信息、内部路径或部分调试数据直接返回给攻击者。这种信息泄露不仅暴露了系统内部结构,还可能辅助攻击者规划后续的攻击路径。鉴于 CVSS 向量显示无需认证即可利用,该风险具有显著的潜在影响,攻击者只需发送特制的 HTTP 请求即可成功利用。