DefaultFuction Jeson-Customer-Relationship-Management-System API 模块 System.php 文件存在服务器端请求伪造 (Server-Side Request Forgery, SSRF) 漏洞

该SSRF漏洞允许攻击者利用Jeson-Customer-Relationship-Management-System API模块作为跳板，向内部网络或外部服务发起请求。攻击者可以利用此漏洞访问内部资源，例如数据库服务器、管理界面或其他敏感服务，从而获取敏感信息或执行恶意操作。由于该漏洞可以远程触发，攻击范围广泛，潜在影响巨大。攻击者可能利用此漏洞扫描内部网络，寻找其他潜在漏洞，进一步扩大攻击范围。类似于其他SSRF漏洞，攻击者可能利用此漏洞读取本地文件或访问云服务元数据。

Organizations utilizing Jeson-Customer-Relationship-Management-System, particularly those with internal services accessible from the API server, are at risk. Environments with weak network segmentation or overly permissive firewall rules are especially vulnerable. Shared hosting environments where multiple customers share the same server instance also face increased risk.

• php / server:

grep -r 'url=' /var/www/jeson-customer-relationship-management-system/api/System.php

• generic web:

curl -I http://your-jeson-crm-api/api/System.php?url=http://internal-service

• generic web:

# Check access logs for unusual outbound requests
grep 'internal-service' /var/log/apache2/access.log

1. 2026-03-24Disclosure

   disclosure

1. 已保留2026-03-23
2. 发布日期2026-03-24
3. EPSS 更新日期2026-03-31

由于Jeson-Customer-Relationship-Management-System采用持续交付和滚动发布模式，因此无法提供具体的受影响版本和更新版本信息。建议用户尽快更新到最新的版本，以获取最新的安全补丁。在无法立即更新的情况下，可以考虑实施以下缓解措施：限制API模块的网络访问权限，只允许访问必要的外部资源；对URL参数进行严格的验证和过滤，防止恶意URL注入；部署Web应用防火墙（WAF），拦截恶意请求；监控API模块的访问日志，及时发现异常行为。更新后，请确认API模块已成功应用补丁，并测试相关功能是否正常。