Microsoft Exchange SSRF漏洞（CVE-2021-26885）

通用型

SSRF

中危 Medium

Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。2021年03月3日，微软官方发布了Microsoft Exchange安全更新，披露了多个高危严重漏洞，其中：在 CVE-2021-26855 Exchange SSRF漏洞中，攻击者可直接构造恶意请求，以Exchange server的身份发起任意HTTP请求，扫描内网，并且可获取Exchange用户信息，该漏洞利用无需身份认证。

基本信息

漏洞情报编号：vulbox-intel-12705

是否可自动化组件：是

CVE-ID：CVE-2021-26885

发布日期：2021/08/31 07:49:08

CNNVD-ID：暂无

最新更新时间：2021/09/03 06:20:59

CNVD-ID：暂无

漏洞类型：

Web漏洞/SSRF

漏洞危害

攻击者可直接构造恶意请求，以Exchange server的身份发起任意HTTP请求，扫描内网，并且可获取Exchange用户信息，该漏洞利用无需身份认证。

影响范围

Exchange 2013 Versions < 15.00.1497.012
Exchange 2016 CU18 < 15.01.2106.013
Exchange 2016 CU19 < 15.01.2176.009
Exchange 2019 CU7 < 15.02.0721.013
Exchange 2019 CU8 < 15.02.0792.010

漏洞复现

修复方案

目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁，建议受影响用户开启系统自动更新安装补丁进行防护。

参考资料

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/