漏洞概述 漏洞名称: ToolJet Cloud - SSRF to Azure Cloud Infrastructure Compromise 漏洞描述: ToolJet Cloud 的 RestAPI 数据源组件存在服务器端请求伪造(SSRF)漏洞。该组件在执行 HTTP 请求时,仅检查主机名字符串,而未解析 IP 地址。攻击者可以利用此漏洞,通过伪造 DNS 名称(如 )绕过私有 IP 过滤器,访问 Azure IMDS(实例元数据服务),从而窃取 Azure 托管身份令牌,实现对 AKS(Azure Kubernetes Service)生产集群的未授权访问。 CVSS 评分: 9.3 (Critical) CVE ID: CVE-2025-5542 影响范围 受影响产品: ToolJet Cloud (app.tooljet.com) 受影响版本: < 3.20.164-fts 已修复版本: 3.20.178 受影响组件: RestAPI Data Source ( ) 攻击链与利用代码 (POC) 步骤 1: 创建针对 IMDS 的 RestAPI 查询 在 ToolJet 应用编辑器中,添加一个 RestAPI 数据源并创建以下查询: 此请求会绕过私有 IP 过滤器(因为 解析到与 相同的地址),并返回包含 AKS 节点元数据的响应,其中包括 标签。 步骤 2: 使用 clientid 请求托管身份令牌 利用从步骤 1 获取的 ,向 Azure 身份端点请求令牌: 成功响应将返回一个 JWT 访问令牌,例如: 步骤 3: 对其他资源范围重复上述操作 可以针对不同的 Azure 资源服务重复步骤 2,以获取不同权限的令牌: 修复方案 P1 (高优先级) 1. 修复私有 IP 过滤器: 在检查之前先解析 DNS,然后阻止 、 、 、 等地址,并验证解析后的 IP 地址(而不仅仅是主机名字符串)。 2. 启用 SSRF 保护: 默认启用 环境变量。 P2 (中优先级) 1. 网络分段: 数据查询运行器不应与生产数据库共享 VPC。