मुफ्त स्कैन करें
LOWCVE-2025-31993CVSS 3.5

HCL Unica Centralized Offer Management में एक संभावित सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है

प्लेटफ़ॉर्म

other

घटक

unica-centralized-offer-management

में ठीक किया गया

25.1.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

HCL Unica Centralized Offer Management में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता पाई गई है। यह भेद्यता अनुचित इनपुट सत्यापन के कारण होती है, जिससे हमलावर आंतरिक संसाधनों तक पहुँचने के लिए दुर्भावनापूर्ण अनुरोध भेज सकते हैं। यह भेद्यता संस्करणों में ≤ 25.1 में मौजूद है, और इसे संस्करण 25.1.1 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

SSRF भेद्यता के माध्यम से, एक हमलावर आंतरिक सेवाओं और संसाधनों तक अनधिकृत पहुँच प्राप्त कर सकता है जो सीधे सार्वजनिक रूप से उपलब्ध नहीं हैं। हमलावर आंतरिक नेटवर्क को स्कैन करने, संवेदनशील डेटा निकालने या अन्य आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता डेटा उल्लंघनों, सेवा व्यवधान और सिस्टम समझौता जैसी गंभीर सुरक्षा घटनाओं का कारण बन सकती है। चूंकि यह SSRF भेद्यता है, इसलिए हमलावर आंतरिक सेवाओं को उजागर करने के लिए इसका उपयोग कर सकते हैं, जिससे आगे के हमलों का मार्ग प्रशस्त हो सकता है।

शोषण संदर्भ

यह CVE 2025-10-12 को प्रकाशित किया गया था। सार्वजनिक रूप से उपलब्ध कोई प्रमाण-अवधारणा (PoC) अभी तक नहीं है, लेकिन SSRF भेद्यताएँ अक्सर शोषण के लिए आसान होती हैं। EPSS स्कोर की जानकारी उपलब्ध नहीं है। इस भेद्यता का शोषण कम संभावना वाला माना जाता है क्योंकि यह एक SSRF भेद्यता है और इसके लिए आंतरिक नेटवर्क तक पहुँच की आवश्यकता होती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (12% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:L3.5LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकunica-centralized-offer-management
विक्रेताHCL Software
प्रभावित श्रेणीमें ठीक किया गया
<=25.1 – <=25.125.1.1

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, HCL Unica Centralized Offer Management को संस्करण 25.1.1 में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो इनपुट सत्यापन को मजबूत करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। WAF को SSRF हमलों को रोकने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, आंतरिक संसाधनों तक पहुँच को सीमित करने के लिए नेटवर्क सेगमेंटेशन का उपयोग किया जा सकता है। इनपुट फ़िल्टरिंग और व्हाइटलिस्टिंग तकनीकों को लागू करना भी महत्वपूर्ण है।

कैसे ठीक करें

HCL Unica Centralized Offer Management को एक पैच किए गए संस्करण में अपडेट करें जो SSRF भेद्यता को ठीक करता है। अधिक विवरण और विशिष्ट अपडेट निर्देशों के लिए HCL नॉलेज बेस लेख देखें: https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-31993 — SSRF HCL Unica Centralized Offer Management में क्या है?

CVE-2025-31993 HCL Unica Centralized Offer Management में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो अनुचित इनपुट सत्यापन के कारण होती है।

क्या मैं CVE-2025-31993 से HCL Unica Centralized Offer Management में प्रभावित हूँ?

यदि आप HCL Unica Centralized Offer Management के संस्करण 25.1 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-31993 से HCL Unica Centralized Offer Management को कैसे ठीक करूँ?

HCL Unica Centralized Offer Management को संस्करण 25.1.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या इनपुट सत्यापन को मजबूत करें।

क्या CVE-2025-31993 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, सार्वजनिक रूप से उपलब्ध कोई शोषण नहीं है, लेकिन SSRF भेद्यताएँ शोषण के लिए आसान होती हैं।

CVE-2025-31993 के लिए HCL Unica Centralized Offer Management का आधिकारिक सलाहकार कहाँ मिल सकता है?

कृपया HCL सुरक्षा सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें