HIGHCVE-2024-9408CVSS 7.5

Eclipse GlassFish 存在通过特定端点进行服务器端请求伪造 (Server Side Request Forgery) 攻击的漏洞

平台

java

组件

org.glassfish.main.admingui:console-common

修复版本

6.2.6

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-9408 描述了 Eclipse GlassFish 控制台组件中存在服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者利用特定端点发起请求，从而访问内部资源或泄露敏感信息。受影响的版本包括 GlassFish 6.2.5 及更早版本。已发布补丁版本 6.2.6，建议尽快升级。

影响与攻击场景

攻击者利用此 SSRF 漏洞可以绕过访问控制，访问 GlassFish 服务器内部的网络资源。这可能包括访问数据库、内部 API 或其他敏感服务。攻击者还可以利用此漏洞读取本地文件，或者将恶意请求发送到其他内部系统，从而造成进一步的损害。虽然该漏洞的直接影响可能有限，但它可能被用作攻击链中的一个环节，用于横向移动或进一步渗透。

利用背景

目前尚未公开发现针对此漏洞的公开利用代码 (PoC)。CISA 尚未将其添加到 KEV 目录。由于该漏洞的 CVSS 评分为高，且 SSRF 漏洞通常易于利用，因此存在被利用的风险。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations running GlassFish version 6.2.5 or earlier, particularly those with sensitive data stored within the GlassFish environment or exposed through internal services, are at risk. Shared hosting environments utilizing GlassFish are also vulnerable, as they may lack the ability to independently patch the underlying server software.

检测步骤翻译中…

• java / server: Monitor GlassFish server logs for unusual outbound requests, particularly those targeting internal IP addresses or sensitive endpoints. Use network monitoring tools to detect suspicious traffic originating from the GlassFish server.

journalctl -u glassfish | grep -i "request to"

• generic web: Use a web application firewall (WAF) to filter outbound requests and block those that appear malicious. Configure the WAF to inspect HTTP headers and request bodies for suspicious patterns. • generic web: Check access logs for requests to unusual or unexpected internal endpoints. • generic web: Examine response headers for signs of SSRF exploitation, such as redirects to internal resources.

攻击时间线

2025-07-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.07% (22% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件org.glassfish.main.admingui:console-common

供应商osv

影响范围修复版本

6.2.5 – 6.2.56.2.6

6.2.56.2.6

弱点分类 (CWE)

CWE-918

时间线

已保留2024-10-01
发布日期2025-07-16
修改日期2025-07-18
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是升级到 GlassFish 6.2.6 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制 GlassFish 控制台的访问权限，只允许授权用户访问。配置防火墙或代理服务器，阻止对敏感内部资源的未经授权的访问。审查 GlassFish 控制台的配置，确保没有暴露不必要的端点。在升级后，确认漏洞已修复，可以通过尝试发起 SSRF 请求来验证。

修复方法

将 Eclipse GlassFish 更新到 6.2.5 之后的版本，该版本已修复服务器端请求伪造 (Server Side Request Forgery, SSRF) 漏洞。请参阅 Eclipse Foundation 提供的版本说明和安全更新，以获取有关更新的具体说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-9408 — SSRF 漏洞在 Eclipse GlassFish 控制台中的问题？

CVE-2024-9408 是 Eclipse GlassFish 控制台版本小于等于 6.2.5 中发现的服务器端请求伪造 (SSRF) 漏洞，攻击者可利用特定端点发起请求访问内部资源。

我是否受到 CVE-2024-9408 在 Eclipse GlassFish 控制台中影响？

如果您正在使用 Eclipse GlassFish 控制台版本 6.2.5 或更早版本，则可能受到此漏洞的影响。请尽快升级到 6.2.6 或更高版本。

我如何修复 CVE-2024-9408 在 Eclipse GlassFish 控制台中？

建议升级到 GlassFish 6.2.6 或更高版本。如果无法升级，请限制控制台的访问权限并配置防火墙规则。

CVE-2024-9408 是否正在被积极利用？

目前尚未公开发现针对此漏洞的公开利用代码，但由于其高 CVSS 评级，存在被利用的风险。

在哪里可以找到 Eclipse GlassFish 官方关于 CVE-2024-9408 的公告？

请查阅 Eclipse GlassFish 的官方安全公告，以获取有关此漏洞的更多信息和修复指南。