CVE-2025-12031CVE-2025-12031是存在于BLU-IC2和BLU-IC4产品中的HTTP安全配置错误漏洞。该漏洞的核心问题在于Web应用程序在设置Cookie时未正确配置Secure和HTTPOnly两个关键安全属性,导致敏感Cookie信息可以被JavaScript上下文读取,存在严重的信息泄露风险。
根据CVSS 3.1评分体系,该漏洞评分为5.3分,属于中危级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需特殊权限(PR:N),无需用户交互(UI:N),对机密性产生低影响(C:L),对完整性和可用性无影响。该漏洞由安全研究人员发现,披露日期为2025年10月21日。
BLU-IC2和BLU-IC4是工业控制或物联网领域的产品,其Web管理界面可能存储包含会话凭证或身份验证信息的敏感Cookie。由于缺少HTTPOnly属性,客户端JavaScript代码(包括正常页面脚本和潜在的恶意注入脚本)均可通过document.cookie API访问这些Cookie。缺少Secure属性则意味着Cookie可以通过未加密的HTTP连接传输,增加了中间人攻击的风险。该漏洞的CVSS向量明确指出,影响范围为S:U(仅影响变更范围),表明问题仅限于该产品本身的功能性安全配置,不涉及更深层次的系统入侵。
该漏洞属于典型的HTTP安全配置错误(HTTP Security Misconfiguration),具体表现为Cookie安全属性的缺失。
**原理分析:**
在HTTP协议中,Cookie可以通过以下两个关键属性增强安全性:
1. **HTTPOnly属性**:设置后,客户端JavaScript无法通过document.cookie访问该Cookie,有效防止XSS(跨站脚本攻击)窃取会话凭证。
2. **Secure属性**:设置后,浏览器仅在HTTPS加密连接下传输该Cookie,防止明文传输被网络嗅探。
在BLU-IC2和BLU-IC4(版本至1.19.5)的Web服务中,服务器在Set-Cookie响应头中未包含这两个属性。攻击者可以利用以下方式利用此漏洞:
1. **XSS结合利用**:攻击者通过其他方式(如钓鱼邮件、社会工程)在目标用户的浏览器中注入恶意JavaScript代码。由于Cookie缺少HTTPOnly属性,恶意脚本可通过`document.cookie`直接读取会话Cookie,并将数据外泄至攻击者控制的服务器。
2. **中间人攻击(MITM)**:在未加密的HTTP连接中,攻击者可通过网络嗅探获取明文传输的Cookie值,进而伪造用户身份。
3. **恶意浏览器扩展或页面**:用户访问包含恶意JavaScript的页面时,页面可通过iframe或fetch请求与目标BLU-IC设备通信,利用CORS或重定向等方式读取Cookie。
由于攻击无需认证、无需用户交互且可远程执行,漏洞利用门槛极低,但影响仅限于Cookie信息泄露,不会直接导致系统入侵或权限提升。