CVE-2025-12479 CVSS 8.8 高危

CVE-2025-12479: BLU-IC2/IC4跨站请求伪造漏洞

披露日期: 2025-10-29

来源: a0340c66-c385-4f8b-991b-3d05f6fd5220

漏洞信息

漏洞编号

CVE-2025-12479

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

BLU-IC2, BLU-IC4

漏洞概述

CVE-2025-12479是影响BLU-IC2和BLU-IC4设备的安全漏洞，属于系统级跨站请求伪造(CSRF)防护缺失。该漏洞存在于这两个产品的所有版本中（截至1.19.5）。攻击者可以利用此漏洞，在用户不知情的情况下，通过诱导用户访问恶意页面或点击恶意链接，以受害者的身份执行未授权的操作。由于CSRF攻击利用的是用户已认证的会话，攻击者可以执行密码修改、配置变更、数据删除等高权限操作。CVSS评分8.8（高危），攻击复杂度低，无需特殊权限，但需要用户交互，攻击向量为网络范围。

技术细节

该漏洞源于BLU-IC2和BLU-IC4在所有API端点上都未实现CSRF token验证机制。系统设计缺陷导致每个请求都缺少必要的令牌来验证请求来源的合法性。攻击者构造恶意HTML页面或链接，当已认证用户访问时，浏览器会自动携带目标域的Cookie发送请求。攻击者可利用这一点执行任意操作，包括修改管理员密码、变更系统配置、添加后门账户等。由于系统缺乏对请求来源的验证，无法区分合法用户操作和恶意伪造请求。

攻击链分析

STEP 1

攻击者创建恶意页面，包含自动提交表单指向BLU-IC2/IC4的API端点

STEP 2

诱导已认证的管理员访问该恶意页面

STEP 3

浏览器自动发送携带有效Cookie的请求

STEP 4

系统执行请求中的敏感操作，如密码修改或配置变更

STEP 5

攻击者获得系统控制权或窃取敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

攻击者构造包含自动提交表单的HTML页面，利用img标签或script标签发起跨域请求，诱导已认证用户访问后自动执行敏感操作。

影响范围

BLU-IC2 <= 1.19.5

BLU-IC4 <= 1.19.5

防御指南

临时缓解措施

暂时禁用受影响设备的网络访问，限制管理员操作来源IP，等待官方安全更新发布后立即升级

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12479
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12479
3 Details https://www.cvedetails.com/cve/CVE-2025-12479/
4 VulDB https://vuldb.com/cve/CVE-2025-12479
5 Link https://azure-access.com/security-advisories

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表