CVE-2025-12205: Kamailio 5.5 cfg.lex sr_push_yy_state函数释放后重用漏洞

漏洞信息

漏洞编号

CVE-2025-12205

漏洞类型

释放后重用(Use After Free)

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kamailio 5.5

漏洞概述

CVE-2025-12205是Kamailio 5.5版本中存在的一个安全漏洞，存在于配置文件处理模块中。该漏洞的具体位置是src/core/cfg.lex文件中的sr_push_yy_state函数。由于该函数存在释放后重用(Use After Free)漏洞，攻击者可以通过精心构造的配置文件来触发此漏洞。

Kamailio是一个开源的SIP(会话初始协议)服务器，广泛应用于VoIP电话系统、即时通讯和实时通信服务中。作为一个关键的通信基础设施组件，Kamailio的安全性至关重要。该漏洞的发现者[email protected]于2025年10月27日披露了此漏洞，目前该漏洞的真实性仍受到质疑。

此漏洞需要从本地位置发起攻击，攻击者需要具备低权限。攻击方式涉及操纵配置文件，而在许多实际场景中，配置文件通常受到较好的权限控制，这使得该漏洞的利用难度较高。尽管如此，由于该漏洞已公开，攻击者可能尝试利用它进行攻击。

该漏洞的CVSS评分为5.3，属于中等严重程度。虽然CVSS向量的各个指标(机密性、完整性、可用性)都显示为低影响，但攻击者仍可能利用释放后重用漏洞来执行任意代码或造成应用程序崩溃。建议使用Kamailio的组织尽快评估此漏洞的风险，并采取相应的安全措施。

技术细节

该漏洞位于Kamailio的配置文件解析模块，具体是src/core/cfg.lex文件中的sr_push_yy_state函数。cfg.lex文件是用于词法分析的源文件，负责解析Kamailio的配置文件。

释放后重用(Use After Free)是一种内存破坏漏洞，当程序在释放内存后继续使用该内存时会发生。这种漏洞可能导致多种严重后果，包括：

1. 敏感信息泄露：攻击者可能通过访问已释放的内存来获取敏感数据
2. 代码执行：精心设计的堆喷射技术可以覆盖释放的内存，使攻击者能够执行任意代码
3. 程序崩溃：访问已释放的内存可能导致应用程序异常终止

在sr_push_yy_state函数中，问题可能出在状态机转换过程中。当函数处理配置文件的语法状态时，如果内存分配和释放的时序不正确，可能导致已释放的内存指针被后续代码继续使用。攻击者需要创建一个特制的Kamailio配置文件，触发特定的状态转换序列，从而在正确的时间点释放内存，然后触发对该内存的访问。

由于该漏洞需要本地访问权限，攻击者必须能够修改目标系统上的Kamailio配置文件。在多租户环境或配置文件权限配置不当的系统上，此漏洞的利用可能性会增加。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先识别目标系统上运行的Kamailio版本，确认是否为5.5版本或存在相同代码的版本

STEP 2

步骤2: 本地访问获取

攻击者需要获得目标系统的本地访问权限，能够读取或修改Kamailio配置文件

STEP 3

步骤3: 配置文件制作

攻击者创建或修改Kamailio配置文件，精心构造能够触发sr_push_yy_state函数中use after free条件的语法结构

STEP 4

步骤4: 漏洞触发

通过启动或重新加载Kamailio配置，触发cfg.lex的词法分析器执行特定的状态转换序列

STEP 5

步骤5: 内存破坏

在状态机执行过程中，特定内存被释放但后续代码继续使用该内存地址，造成释放后重用

STEP 6

步骤6: 攻击利用

攻击者利用堆喷射或其他技术覆盖已释放的内存，可能实现代码执行或信息泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-12205 PoC - Kamailio cfg.lex sr_push_yy_state Use After Free
# This PoC demonstrates the vulnerability by triggering the cfg parser

# Create a malicious Kamailio configuration file
cat > /tmp/malicious.cfg << 'EOF'
# Kamailio Configuration File - Malicious
debug=3
log_stderror=yes

listen=udp:127.0.0.1:5060

route {
    # Trigger the cfg lexer state machine
    if (is_method("INVITE")) {
        # Manipulate configuration parsing
        route(RELAY);
    }
}

route[RELAY] {
    # Additional configuration triggers
    sl_send_reply("100", "Trying");
    forward();
}
EOF

echo "Malicious configuration file created: /tmp/malicious.cfg"
echo "To trigger the vulnerability, load this configuration with Kamailio"
echo "Note: This is a proof-of-concept for educational purposes only"

影响范围

Kamailio 5.5

防御指南

临时缓解措施

由于该漏洞需要本地访问配置文件，建议采取以下临时缓解措施：1) 严格限制对Kamailio配置目录的访问权限，确保只有授权管理员可以修改配置文件；2) 启用审计日志记录所有配置文件的变更；3) 在多租户环境中使用虚拟化或容器隔离技术；4) 监控Kamailio进程的异常行为，如内存访问错误；5) 考虑使用配置管理工具统一管理配置文件，防止未经授权的修改；6) 如果业务允许，可以暂时限制Kamailio配置重载功能，直到官方补丁发布。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12205
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12205
3 Details https://www.cvedetails.com/cve/CVE-2025-12205/
4 VulDB https://vuldb.com/cve/CVE-2025-12205
5 Link https://shimo.im/docs/ZzkLMVMLOzIRlpAQ/
6 Link https://vuldb.com/?ctiid.329875
7 Link https://vuldb.com/?id.329875
8 Link https://vuldb.com/?submit.673225
9 Link https://www.openwall.com/lists/oss-security/2025/11/02/3
10 Link http://www.openwall.com/lists/oss-security/2025/10/27/12
11 Link http://www.openwall.com/lists/oss-security/2025/10/27/8
12 Link https://www.openwall.com/lists/oss-security/2025/10/27/8