Plataforma
other
Componente
unica-centralized-offer-management
Corregido en
25.1.1
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en HCL Unica Centralized Offer Management. Esta vulnerabilidad permite a un atacante, mediante la manipulación de la entrada, realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o permitiendo el acceso no autorizado. La vulnerabilidad afecta a las versiones hasta la 25.1 y se recomienda actualizar a la versión 25.1.1 para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad SSRF podría permitir a un atacante acceder a recursos internos que normalmente no estarían expuestos a la red externa. Esto podría incluir la lectura de archivos de configuración, la interacción con otros servicios internos o incluso la ejecución de comandos en el servidor subyacente, dependiendo de la configuración del sistema. El impacto potencial varía según la sensibilidad de los recursos internos a los que se pueda acceder, pero podría resultar en la divulgación de información confidencial, la modificación de datos o la toma de control del sistema. Aunque el CVSS score es LOW, la posibilidad de acceder a información sensible justifica una respuesta rápida.
La vulnerabilidad CVE-2025-31993 fue publicada el 12 de octubre de 2025. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera baja debido a la complejidad de la explotación y la necesidad de conocimiento interno de la infraestructura. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles intentos de explotación.
Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.
disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 25.1.1 de HCL Unica Centralized Offer Management, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los recursos internos a través de firewalls y listas de control de acceso (ACLs). Además, se puede considerar la implementación de un Web Application Firewall (WAF) con reglas para bloquear solicitudes sospechosas de SSRF. Verifique que la validación de entrada esté correctamente implementada en todas las partes de la aplicación.
Actualice HCL Unica Centralized Offer Management a una versión parcheada que solucione la vulnerabilidad SSRF. Consulte el artículo de la base de conocimientos de HCL para obtener más detalles e instrucciones específicas de actualización: https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-31993 is a Server-Side Request Forgery vulnerability affecting HCL Unica Centralized Offer Management versions up to 25.1, allowing attackers to potentially access internal resources.
You are affected if you are using HCL Unica Centralized Offer Management version 25.1 or earlier. Upgrade to 25.1.1 or later to mitigate the risk.
The recommended fix is to upgrade to HCL Unica Centralized Offer Management version 25.1.1 or later. Consider input validation as a temporary workaround.
Currently, there are no confirmed reports of active exploitation, but the SSRF nature warrants vigilance.
Please refer to the official HCL security advisory for detailed information and updates regarding CVE-2025-31993.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.