某單位私有雲平台 CloudKey 未認證租戶列舉、內部 IP 洩漏與 XML-RPC 盲 SSRF - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

ZDID: ZD-2026-00636
Title: 某單位私有雲平台 CloudKey 未認證租戶列舉、內部 IP 洩漏與 XML-RPC 盲 SSRF
Introduction: CloudKey 端點可匿名查詢，17 個有效租戶被列舉，並可串聯 XML-RPC pingback 盲 SSRF 與 DNS 內部 IP 洩漏。

處理狀態

目前狀態

通報未回應

Last Update : 2026/05/27

新提交
已審核
通報中
未修補
未複測
公開

處理歷程

2026/05/06 23:17:04 : 新提交 (由罐頭更新此狀態)
2026/05/06 23:21:13 : 新提交 (由罐頭更新此狀態)
2026/05/06 23:30:52 : 新提交 (由罐頭更新此狀態)
2026/05/06 23:32:09 : 新提交 (由罐頭更新此狀態)
2026/05/09 17:55:37 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 15:54:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 15:54:19 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 15:54:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)

詳細資料

ZDID：ZD-2026-00636
通報者：guan4tou2 (罐頭)
風險：高
類型：資訊洩漏 (Information Leakage)

留言討論

;