CVE-2025-26787: Keyfactor SignServer容器启动逻辑错误导致访问控制绕过

漏洞信息

漏洞编号

CVE-2025-26787

漏洞类型

访问控制绕过/配置错误

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Keyfactor SignServer

漏洞概述

CVE-2025-26787是Keyfactor SignServer容器版本7.2之前存在的一个访问控制配置逻辑错误漏洞。该漏洞发生在容器启动时的Admin CLI命令执行逻辑中。在正常的安全配置流程中，管理员应通过CLI命令将初始的证书访问权限设置为允许任何有效客户端证书访问（allowany），然后在后续配置中收紧为更严格的特定证书访问控制。然而，由于代码逻辑错误，初始化命令在每次容器重启时都会被重复执行，导致之前管理员设置的严格访问控制被重置为allowany模式。这使得任何持有有效且受信任的客户端身份验证证书的攻击者都能获得对SignServer的访问权限，可能导致签名操作被滥用、敏感数据泄露或进一步的横向移动攻击。

技术细节

漏洞根因在于SignServer容器启动脚本中存在逻辑错误。具体来说，用于配置证书访问权限的Admin CLI命令（该命令将属性设置为allowany）本应仅在容器首次启动时执行一次，但实际实现中该命令在每次容器重启时都会被触发。当容器重新启动时，初始化脚本会重新设置allowany策略，覆盖管理员之前通过安全加固配置的其他访问控制规则。攻击者只需获取一个有效的、被SignServer信任的客户端身份验证证书（X.509客户端证书），即可利用此漏洞绕过预期的访问限制。由于CVSS向量显示攻击复杂度为低（AC:L），且需要高权限认证（PR:H）才能进行操作，但最终可导致机密性、完整性和可用性均为低影响（C:L/I:L/A:L），这表明攻击虽然需要一定的认证凭证，但影响范围有限。

攻击链分析

STEP 1

步骤1

攻击者获取一个有效的、被SignServer服务器信任的客户端身份验证证书（X.509客户端证书）

STEP 2

步骤2

攻击者使用该证书连接到SignServer服务

STEP 3

步骤3

如果管理员已设置严格的访问控制，攻击者被拒绝访问

STEP 4

步骤4

容器发生重启（计划内维护、意外崩溃或攻击者触发）

STEP 5

步骤5

容器启动时，初始化脚本中的Admin CLI命令执行，将访问策略重置为allowany

STEP 6

步骤6

管理员设置的严格访问控制被覆盖，攻击者现在可以使用之前获取的证书获得未授权访问

STEP 7

步骤7

攻击者利用访问权限执行签名操作、窃取敏感数据或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-26787 PoC - Keyfactor SignServer Access Control Bypass
# This PoC demonstrates the configuration reset behavior

# Prerequisites:
# 1. Valid client authentication certificate trusted by SignServer
# 2. Access to SignServer container environment

# Step 1: Connect to SignServer with valid client certificate
# SignServer CLI command to check current access policy
CLI_CMD="/opt/signserver/bin/signserver cliclient.sh"

# Step 2: Check access policy before container restart
echo "[+] Checking access policy before restart..."
$CLI_CMD getprop global allowAnyClientCertAccess

# Step 3: Set restrictive access policy (as admin would do)
echo "[+] Setting restrictive access policy..."
$CLI_CMD setprop global allowAnyClientCertAccess false

# Step 4: Verify restrictive policy is applied
echo "[+] Verifying restrictive policy..."
$CLI_CMD getprop global allowAnyClientCertAccess

# Step 5: Simulate container restart (trigger the bug)
echo "[!] Simulating container restart - policy will be reset..."
docker restart signserver-container

# Step 6: Check policy after restart - it will be reset to 'true'
echo "[+] Checking access policy after restart..."
$CLI_CMD getprop global allowAnyClientCertAccess

# Expected result: allowAnyClientCertAccess is 'true' (vulnerable state)
echo "[+] If allowAnyClientCertAccess=true, vulnerability is present"

影响范围

Keyfactor SignServer < 7.2

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 监控并记录SignServer容器的每次启动事件；2) 容器重启后立即检查并重新应用严格的访问控制策略；3) 限制可访问SignServer的网络范围，仅允许受信任的IP地址段；4) 实施证书吊销检查，确保任何被泄露的证书能被及时吊销；5) 考虑使用外部防火墙规则限制对SignServer的访问。