CVE-2025-15503：深信服运维管理系统中的任意文件上传漏洞

严重性：中等 类型：漏洞 CVE编号：CVE-2025-15503

在深信服（Sangfor）运维管理系统（O&M System）最高至3.0.8版本中发现了一个安全漏洞。受影响的是文件 /fort/trust/version/common/common.jsp 中的一个未知函数。对 File 参数进行操纵会导致任意文件上传。该攻击可以远程执行。漏洞利用代码已公开发布，并可能被用于攻击。供应商很早就收到了关于此披露的通知，但未作任何回应。

技术摘要

CVE-2025-15503 是在深信服运维管理系统（O&M System）3.0.0至3.0.8版本中发现的一个漏洞。该缺陷存在于位于 /fort/trust/version/common/common.jsp 的 JSP 文件中的一个未指定函数内，攻击者通过操纵 File 参数可以实现任意文件上传。此漏洞可被远程利用，且无需任何身份验证或用户交互，显著降低了攻击者的门槛。

这种任意上传能力可被用来在服务器上放置恶意文件，可能包括 WebShell 或其他能够实现远程代码执行、权限提升或持久化访问的有效载荷。其CVSS 4.0基础评分为6.9，属于中等严重性，攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N）。对机密性、完整性和可用性的影响为低至有限，但可能根据部署的有效载荷而升级。供应商尚未发布任何补丁或公告，也未对披露尝试作出回应，这增加了风险敞口。

尽管目前尚未报告有已知的在野漏洞利用，但漏洞利用代码的公开发布增加了攻击即将发生的可能性。该漏洞影响常用于运维环境的管理系统，使其成为旨在破坏或渗透企业IT运营的攻击者的关键目标。

潜在影响

对于欧洲组织而言，深信服运维管理系统中的任意文件上传漏洞构成了重大风险。成功利用此漏洞可能导致未经授权的系统访问、数据窃取或关键维护操作的中断。这对于依赖深信服产品进行基础设施管理的行业（如电信、能源和大型企业）尤其令人担忧。

系统被攻陷可能导致停机、敏感运营数据丢失，以及网络内部的潜在横向移动。鉴于供应商缺乏响应和补丁，组织面临长期暴露风险。漏洞利用代码的公开可用性增加了机会性攻击的风险，包括勒索软件部署或间谍活动。其影响超出了单个组织，可能波及欧洲的供应链和关键基础设施稳定性。

此外，如果违规行为导致根据GDPR（通用数据保护条例）规定的个人数据暴露，还会产生监管合规风险。如果攻击者利用该漏洞进行高级持续性威胁（APT）或大规模破坏，其“中等”严重性评级可能低估了实际影响。

缓解建议

由于没有官方的补丁或供应商公告，欧洲组织应立即实施补偿性控制措施。

1. 限制网络访问：限制对深信服运维管理系统的网络访问，将其限定在可信的管理网络内，并阻止其暴露于互联网。
2. 部署防护设备：部署具有自定义规则的Web应用防火墙（WAF）或入侵防御系统（IPS），以检测并阻止针对易受攻击的JSP端点的可疑文件上传尝试。
3. 加强日志与监控：对受影响服务器上的文件上传活动和异常行为进行彻底的日志记录和监控。
4. 系统隔离：将深信服系统与关键生产环境隔离，以遏制潜在的破坏。
5. 部署终端检测与响应（EDR）：考虑部署EDR解决方案以识别利用后活动。
6. 审查文件系统权限：组织还应审查并强化文件系统权限，以限制恶意上传的影响。
7. 积极联系供应商：持续与深信服支持渠道沟通，以获取更新和补丁。
8. 制定应急预案：最后，针对此漏洞制定专门的事件响应计划，包括快速遏制和取证分析程序。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、波兰