Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00168
- 發信 Vendor: 雅博數位、Ruling Digital、新策科技、其他使用此系統的學術單位
- Title: Orbit CMS SSRF 、Dos風險
- Introduction: 系統存在一個SSRF,能以此進行內網掃描與,或是造成Dos
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/02/12 20:03:05 : 新提交 (由 {{萌新}} 更新此狀態)
- 2025/02/12 20:35:20 : 新提交 (由 {{萌新}} 更新此狀態)
- 2025/02/12 20:41:57 : 新提交 (由 {{萌新}} 更新此狀態)
- 2025/02/12 23:18:19 : 新提交 (由 {{萌新}} 更新此狀態)
- 2025/02/14 15:44:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/03/13 16:49:00 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/03/13 16:49:00 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/03/13 16:49:01 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/04/14 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00168
- 通報者:nhd1261 ({{萌新}})
- 風險:嚴重
- 類型:Server-Side Request Forgery (SSRF)
參考資料
相關網址
https://orbitek.co/zh_tw/showcase
相關廠商,其官網也使用相同系統,同樣受到此漏洞影響:
https://orbitek.co/
https://ruling.digital/
https://newstc.com.tw/
敘述
此漏洞為去年通報的 ZD-2024-03185、ZD-2024-03186、ZD-2024-03187 的變種與延伸,影響使用同一套 CMS 系統的台灣學術單位。部分單位已修補或關閉此功能,但仍有單位未修復,並且我發現了一個新的繞過方式,仍可將請求導向任意域名或 IP。
影響範圍:
使用此套系統,並開啟/annc_url這個功能進行下載、檢視檔案。根據廠商官網的案例可以知道台灣使用此系統的學術單位非常多,故難以一一測試每個單位是否受到此漏洞影響。
SSRF:
可繞過域名檢測,進而造成 SSRF漏洞,以下舉例未修補去年通報的版本:
https://tmbic.nccu.edu.tw/annc_url?url=https://[email protected]
https://ci.ed.ntnu.edu.tw/annc_url?url=http://[email protected]
https://phys.ncts.ntu.edu.tw/annc_url?url=https://[email protected]而近日發現新的繞過方式,透過 /. 符號繞過檢測,依舊可將請求導向任意域名或IP,以去年已經修補過此漏洞的政大資管系舉例:
https://mis2.nccu.edu.tw/annc_url?url=https://www.google.com/.nccu.edu.tw若需要請求特定資源,可使用 ? 註將後方域名檢測變成參數註解掉:
https://mis2.nccu.edu.tw/annc_url?url=https://www.google.com/?.nccu.edu.tw
CMS 系統廠商網站,一樣可以使用此方式進行SSRF:
https://orbitek.co/annc_url?url=https://www.google.com/?.orbitek.co
https://ruling.digital/annc_url?url=https://www.google.com/?.ruling.digital
https://newstc.com.tw/annc_url?url=https://www.google.com/?.newstc.com.tw漏洞影響:
攻擊者可利用此 SSRF 漏洞對內網進行掃描,進而獲取內網架構資訊。
內網 IP 探測:去年測試時,成功掃描出某單位 AP 設備的內網 IP。
內部資源存取:若內部資源僅限制內網 IP 存取,攻擊者可透過此漏洞繞過限制,存取內部資源。
Dos:
在測試SSRF的過程中,發現 annc_url 參數存在嵌套請求的可能性,發送一條嵌套請求後(具體崩潰層數未確定,但我測試時嵌套十多層就504了),會導致整個網站長時間 504 Gateway Timeout,影響所有使用者的存取。
https://orbitek.co/annc_url?url=https://orbitek.co/annc_url?url=https://orbitek.co/annc_url?url=…
推測可能原因:
Worker 過載:由於每個請求會觸發額外的請求,當請求數量超過 worker_processes 設定時,新的請求無法被處理,導致請求排隊堵塞。
應用層超時機制錯誤:annc_url 可能未對自身 URL 解析設置適當的遞迴層數上限,導致無限遞迴,最後卡死伺服器。
在測試過程中,由於我嘗試驗證該漏洞的影響範圍,無意間觸發了導致網站504 Gateway Timeout 的情況。我對於此事件可能對貴單位造成的不便或影響深感抱歉。我的測試目的純粹是為了協助發現與驗證該系統的安全性問題,並無惡意攻擊或惡意利用的意圖。
修補建議
1.域名解析應使用更安全的方式進行檢查,而不是直接匹配字串。
2.應限制此功能不可嵌套自身。