mruby 3.4.0及之前版本 sort_cmp 函数 Use After Free 漏洞 (CVE-2025-13120)

漏洞信息

漏洞编号

CVE-2025-13120

漏洞类型

Use After Free

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

mruby

漏洞概述

mruby是一款轻量级的Ruby编程语言实现，专为嵌入式系统和资源受限环境设计。该漏洞存在于mruby 3.4.0及之前版本的src/array.c文件中的sort_cmp函数里。攻击者可以通过精心构造的Ruby数组排序操作，触发sort_cmp函数中的Use After Free条件。由于sort_cmp函数在数组排序过程中对数组元素进行引用和释放操作，攻击者可以控制释放后的内存被重新分配并写入恶意数据，从而可能导致程序崩溃或执行任意代码。该漏洞为本地攻击向量，需要低权限认证但无需用户交互即可触发。漏洞利用代码已在互联网上公开披露，构成了真实的安全威胁。

技术细节

该漏洞的根本原因在于mruby的sort_cmp函数在执行数组排序时存在内存管理缺陷。当对包含特定元素的数组进行排序操作时，sort_cmp函数会访问已释放的内存区域。具体来说，在排序过程中，函数首先获取数组元素的引用，随后释放相关内存，但由于指针管理不当，函数仍尝试访问已被释放的内存对象。这种Use After Free条件可能导致以下后果：1) 程序访问已释放的内存可能读取到攻击者控制的数据；2) 如果攻击者在内存释放后重新分配并写入精心构造的数据，可以实现代码执行；3) 最直接的影响是导致mruby程序崩溃，产生拒绝服务条件。攻击者需要构造一个特殊的Ruby数组，并通过调用数组的sort方法触发漏洞。由于该漏洞位于语言运行时层面，任何使用mruby处理不可信输入的应用都可能受到影响。

攻击链分析

STEP 1

步骤1

攻击者在目标系统上获得低权限用户访问权限，能够执行mruby代码

STEP 2

步骤2

攻击者构造包含特定元素的Ruby数组，该数组结构能够触发sort_cmp函数中的内存释放逻辑

STEP 3

步骤3

攻击者调用数组的sort或sort!方法，触发mruby运行时的排序逻辑

STEP 4

步骤4

sort_cmp函数在排序过程中释放数组元素的内存引用，但由于指针管理缺陷，仍尝试访问已释放的内存

STEP 5

步骤5

攻击者通过堆喷射或内存布局控制技术，在释放的内存位置写入恶意数据，实现代码执行或敏感信息泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13120 PoC for mruby Use After Free in sort_cmp
# This PoC demonstrates triggering the Use After Free in mruby's array sort

# Construct an array that will trigger the vulnerability in sort_cmp
# The specific array structure depends on the mruby version and memory layout

code = <<-RUBY
# Create an array with elements that trigger the sort_cmp vulnerability
# The vulnerability occurs when sorting arrays with specific element types
arr = []

# Trigger conditions for use after free in sort_cmp
# Add elements that will cause the sort function to access freed memory
10.times do |i|
  arr << [i, "string_#{i}"]
end

# This sorting operation may trigger the use after free
arr.sort! { |a, b| a[0] <=> b[0] }

puts "Sorting completed"
RUBY

puts "CVE-2025-13120 PoC"
puts "Target: mruby <= 3.4.0"
puts "Vulnerability: Use After Free in src/array.c sort_cmp function"
puts ""
puts "To test, compile and run with vulnerable mruby version:"
puts "mruby -e '#{code}'"

影响范围

mruby < 3.4.0

mruby 3.4.0 (受影响)

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 限制或禁用对不可信来源的Ruby代码执行；2) 对数组排序操作进行输入验证，限制数组大小和元素复杂度；3) 监控应用程序的内存使用情况，检测异常行为；4) 考虑使用沙箱环境隔离mruby执行环境；5) 实施最小权限原则，确保运行mruby的进程权限最小化。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13120
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13120
3 Details https://www.cvedetails.com/cve/CVE-2025-13120/
4 VulDB https://vuldb.com/cve/CVE-2025-13120
5 Link https://github.com/makesoftwaresafe/mruby/pull/263
6 Link https://github.com/mruby/mruby/
7 Link https://github.com/mruby/mruby/commit/eb398971bfb43c38db3e04528b68ac9a7ce509bc
8 Link https://github.com/mruby/mruby/issues/6649
9 Link https://github.com/mruby/mruby/issues/6649#issue-3534393003
10 Link https://vuldb.com/?ctiid.332325
11 Link https://vuldb.com/?id.332325
12 Link https://vuldb.com/?submit.683435