Plateforme
other
Composant
unica-centralized-offer-management
Corrigé dans
25.1.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans HCL Unica Centralized Offer Management. Cette faille permet à un attaquant d'exploiter une validation incorrecte des entrées pour soumettre des requêtes malveillantes à l'application. Elle affecte les versions antérieures ou égales à 25.1 et a été corrigée dans la version 25.1.1.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes auxquelles il ne devrait pas avoir accès. Cela peut conduire à la divulgation d'informations sensibles, à la manipulation de données ou même à la prise de contrôle de systèmes internes. L'attaquant pourrait potentiellement accéder à des API internes, des bases de données ou d'autres services qui ne sont pas directement accessibles depuis l'extérieur. Le risque est amplifié si l'application utilise des informations d'identification stockées sur le serveur pour effectuer ces requêtes, ce qui pourrait permettre à l'attaquant d'agir en tant que serveur.
Cette vulnérabilité a été publiée le 12 octobre 2025. La probabilité d'exploitation est considérée comme faible (CVSS 3.5). Il n'y a pas d'indicateurs d'exploitation active connus à ce jour, ni de Proof of Concept (PoC) publiquement disponibles. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour HCL Unica Centralized Offer Management vers la version 25.1.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de renforcer la validation des entrées utilisateur pour empêcher l'injection de requêtes malveillantes. L'utilisation d'un pare-feu d'application web (WAF) configuré pour bloquer les requêtes SSRF peut également aider à atténuer le risque. Vérifiez également les règles de pare-feu réseau pour limiter l'accès aux ressources internes depuis le serveur d'application.
Mettez à jour HCL Unica Centralized Offer Management vers une version corrigée qui résout la vulnérabilité SSRF. Consultez l'article de la base de connaissances HCL pour plus de détails et des instructions de mise à jour spécifiques : https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-31993 is a Server-Side Request Forgery vulnerability affecting HCL Unica Centralized Offer Management versions up to 25.1, allowing attackers to potentially access internal resources.
You are affected if you are using HCL Unica Centralized Offer Management version 25.1 or earlier. Upgrade to 25.1.1 or later to mitigate the risk.
The recommended fix is to upgrade to HCL Unica Centralized Offer Management version 25.1.1 or later. Consider input validation as a temporary workaround.
Currently, there are no confirmed reports of active exploitation, but the SSRF nature warrants vigilance.
Please refer to the official HCL security advisory for detailed information and updates regarding CVE-2025-31993.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.