平台
other
组件
unica-centralized-offer-management
修复版本
25.1.1
HCL Unica Centralized Offer Management存在服务器端请求伪造(SSRF)漏洞,允许攻击者通过恶意输入访问内部资源。该漏洞影响版本小于等于25.1的系统。已发布修复版本25.1.1,建议尽快升级以消除风险。
攻击者可以利用此SSRF漏洞,通过HCL Unica Centralized Offer Management应用程序发起请求,访问内部网络中的敏感资源,例如数据库、管理界面或其他内部服务。这可能导致信息泄露、权限提升甚至远程代码执行,具体取决于内部资源的安全性。攻击者可能利用此漏洞扫描内部网络,寻找其他潜在漏洞,从而扩大攻击范围。由于SSRF漏洞通常难以检测,因此可能在未经发现的情况下持续存在,造成严重的安全威胁。
该漏洞已于2025年10月12日公开披露。目前尚未观察到大规模的利用活动,但由于SSRF漏洞的隐蔽性,存在被利用的风险。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations utilizing HCL Unica Centralized Offer Management, particularly those with internal services accessible via the application, are at risk. Deployments with weak network segmentation or overly permissive access controls are especially vulnerable.
disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
为了缓解此SSRF漏洞,建议立即升级到版本25.1.1或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:严格限制HCL Unica Centralized Offer Management应用程序的网络访问权限,只允许访问必要的外部资源。实施输入验证和过滤,防止攻击者提交恶意构造的输入。使用Web应用程序防火墙(WAF)或反向代理来检测和阻止SSRF攻击。定期审查和更新应用程序的安全配置,确保其符合最佳实践。
将 HCL Unica Centralized Offer Management 更新到修复了 SSRF 漏洞的补丁版本。请参阅 HCL 知识库文章以获取更多详细信息和具体的更新说明:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0124422
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-31993描述了HCL Unica Centralized Offer Management应用程序中的服务器端请求伪造(SSRF)漏洞,攻击者可以利用此漏洞访问内部资源。
如果您正在使用HCL Unica Centralized Offer Management且版本小于等于25.1,则可能受到此漏洞的影响。
建议立即升级到版本25.1.1或更高版本。如果无法升级,请实施输入验证和限制网络访问。
目前尚未观察到大规模的利用活动,但存在被利用的风险。
请查阅HCL官方安全公告,获取有关此漏洞的详细信息和修复指南。