プラットフォーム
other
コンポーネント
unica-centralized-offer-management
修正版
25.1.1
HCL Unica Centralized Offer Managementにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されています。この脆弱性は、不適切な入力検証が原因で発生し、攻撃者が悪意のあるリクエストを送信することで、内部リソースへの不正アクセスを試みる可能性があります。影響を受けるバージョンは25.1以下ですが、バージョン25.1.1で修正されています。
このSSRF脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。例えば、内部APIへのアクセス、データベースへの接続試行、または他の内部サービスへの攻撃などが考えられます。攻撃者は、Unica Centralized Offer Managementのサーバーを介して、本来アクセスできないはずの内部リソースにアクセスできるようになります。この脆弱性の影響範囲は、内部ネットワークの構成やアクセス権限に依存しますが、悪用されると広範囲にわたる損害を引き起こす可能性があります。
この脆弱性は、2025年10月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することを推奨します。
Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.
disclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、HCL Unica Centralized Offer Managementをバージョン25.1.1にアップデートすることを強く推奨します。アップデートが困難な場合は、入力検証を強化するカスタムのセキュリティルールを実装することを検討してください。WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、Unica Centralized Offer Managementがアクセスできる内部リソースを制限し、最小限のアクセス権限を付与することで、リスクを軽減できます。
HCL Unica Centralized Offer Management を SSRF 脆弱性を修正するパッチが適用されたバージョンにアップデートしてください。詳細と具体的なアップデート手順については、HCL のナレッジベースの記事を参照してください: https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-31993は、HCL Unica Centralized Offer Management (バージョン25.1以下)におけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。攻撃者は、不適切な入力検証を悪用して、内部リソースへの不正アクセスを試みる可能性があります。
はい、バージョン25.1以下のHCL Unica Centralized Offer Managementを使用している場合は影響を受けます。内部ネットワーク上の機密情報へのアクセスや、他のシステムへの攻撃の足がかりとして悪用される可能性があります。
HCL Unica Centralized Offer Managementをバージョン25.1.1にアップデートすることを強く推奨します。アップデートが難しい場合は、入力検証の強化やWAFの導入を検討してください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。
HCLのセキュリティアドバイザリページを参照してください。具体的なURLは、HCLの公式ウェブサイトで確認できます。