Scanner gratuitement
LOWCVE-2025-31993CVSS 3.5

HCL Unica Centralized Offer Management est vulnérable à une potentielle Server-Side Request Forgery (SSRF)

Plateforme

other

Composant

unica-centralized-offer-management

Corrigé dans

25.1.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans HCL Unica Centralized Offer Management. Cette faille permet à un attaquant d'exploiter une validation incorrecte des entrées pour soumettre des requêtes malveillantes à l'application. Elle affecte les versions antérieures ou égales à 25.1 et a été corrigée dans la version 25.1.1.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes auxquelles il ne devrait pas avoir accès. Cela peut conduire à la divulgation d'informations sensibles, à la manipulation de données ou même à la prise de contrôle de systèmes internes. L'attaquant pourrait potentiellement accéder à des API internes, des bases de données ou d'autres services qui ne sont pas directement accessibles depuis l'extérieur. Le risque est amplifié si l'application utilise des informations d'identification stockées sur le serveur pour effectuer ces requêtes, ce qui pourrait permettre à l'attaquant d'agir en tant que serveur.

Contexte d'Exploitation

Cette vulnérabilité a été publiée le 12 octobre 2025. La probabilité d'exploitation est considérée comme faible (CVSS 3.5). Il n'y a pas d'indicateurs d'exploitation active connus à ce jour, ni de Proof of Concept (PoC) publiquement disponibles. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.

Qui Est à Risquetraduction en cours…

Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.04% (percentile 12%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:L3.5LOWAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantunica-centralized-offer-management
FournisseurHCL Software
Plage affectéeCorrigé dans
<=25.1 – <=25.125.1.1

Classification de Faiblesse (CWE)

CWE-918

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour HCL Unica Centralized Offer Management vers la version 25.1.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de renforcer la validation des entrées utilisateur pour empêcher l'injection de requêtes malveillantes. L'utilisation d'un pare-feu d'application web (WAF) configuré pour bloquer les requêtes SSRF peut également aider à atténuer le risque. Vérifiez également les règles de pare-feu réseau pour limiter l'accès aux ressources internes depuis le serveur d'application.

Comment corriger

Mettez à jour HCL Unica Centralized Offer Management vers une version corrigée qui résout la vulnérabilité SSRF. Consultez l'article de la base de connaissances HCL pour plus de détails et des instructions de mise à jour spécifiques : https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2025-31993 — SSRF in HCL Unica Offer Management?

CVE-2025-31993 is a Server-Side Request Forgery vulnerability affecting HCL Unica Centralized Offer Management versions up to 25.1, allowing attackers to potentially access internal resources.

Am I affected by CVE-2025-31993 in HCL Unica Offer Management?

You are affected if you are using HCL Unica Centralized Offer Management version 25.1 or earlier. Upgrade to 25.1.1 or later to mitigate the risk.

How do I fix CVE-2025-31993 in HCL Unica Offer Management?

The recommended fix is to upgrade to HCL Unica Centralized Offer Management version 25.1.1 or later. Consider input validation as a temporary workaround.

Is CVE-2025-31993 being actively exploited?

Currently, there are no confirmed reports of active exploitation, but the SSRF nature warrants vigilance.

Where can I find the official HCL advisory for CVE-2025-31993?

Please refer to the official HCL security advisory for detailed information and updates regarding CVE-2025-31993.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE