从截图中可以获取到以下关于漏洞的关键信息: 关键信息 Product: TRUfusion Enterprise Vendor URL: https://www.rocketsoftware.com/en-us/products/b2b-supply-chain-integration/trufusion CWE: Server-Side Request Forgery (SSRF) [CWE-918] Date found: 2025-02-12 Date published: 2026-02-16 CVSSv4 Score: 7.9 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:H) CVE: CVE-2025-32355 受影响版本 TRUfusion Enterprise versions < 7.10.5 漏洞详情 TRUfusion Enterprise 存在预身份验证的服务器端请求伪造 (SSRF) 漏洞,涉及反向代理请求处理。该代理接受攻击者提供的绝对形式 URL 并将请求转发到任意目的地,包括未直接暴露的内部网络服务。结果,未经身份验证的攻击者可以利用该应用作为中继与内部端点交互并检索代理响应,增加内部服务暴露和与附加弱点链接时的后续攻击风险。 解决方案 更新到 TRUfusion Enterprise 7.10.5 报告时间线 2025-02-12: 发现漏洞 2025-04-04: 通过既定披露渠道联系供应商 2025-04-05: MITRE 分配 CVE-2025-32355 2025-04-09: 供应商无法复现,请求澄清 2025-04-09: 提供附加澄清 2025-04-28: 供应商无响应,请求更新 2025-05-05: 供应商无响应,通知预期披露日期(2025-05-09) 2025-05-05: 供应商确认并承诺提供进一步信息 2025-05-07: 披露日期延期,允许附加时间 2025-05-22: 供应商无响应,请求更新 2025-06-20: 供应商无响应,通知修订后的预期披露日期(2025-06-30) 2025-06-28: 基于善意进一步延期披露日期 2025-07-07: 供应商无响应,请求更新 2025-07-10: 供应商无响应,请求更新 2025-07-14: 供应商无响应,由于缺乏供应商响应延期披露 2025-08-25: 供应商无响应,请求更新 2025-09-25: 供应商无响应,请求更新 2025-11-12: 供应商无响应,请求更新 2025-11-12: 供应商确认正在进行调查 2026-01-01: 新年快乐! 2026-02-09: 供应商无响应,请求更新 2026-02-09: 供应商声明问题已解决 2026-02-09: 请求固定版本的澄清 2026-02-11: 供应商确认修复包含在 TRUfusion Enterprise 7.10.5 2026-02-16: 公开披露