CVE-2025-48704: Pexip Infinity中的CWE-617可到达断言漏洞

严重性：高 类型：漏洞

CVE-2025-48704

CVE-2025-48704是Pexip Infinity版本35.0至37.2（38.0之前版本）中存在的一个高危漏洞，由信令组件中的不当输入验证引起。该缺陷允许未经身份验证的攻击者触发可到达断言失败，导致软件中止和拒绝服务（DoS）状态。此漏洞不影响保密性或完整性，但会严重影响可用性。利用此漏洞无需特权或用户交互，并且可以通过网络远程执行。目前未在公开领域发现已知的漏洞利用方式。使用受影响Pexip Infinity版本的欧洲组织，特别是那些依赖视频会议基础设施的组织，面临服务中断的风险。缓解措施涉及升级到版本38.0。

技术摘要

CVE-2025-48704是在广泛使用的视频会议和协作平台Pexip Infinity中发现的一个漏洞。该缺陷源于信令组件中的输入验证不当，具体是一个可由精心构造的网络消息触发的可到达断言（CWE-617）。当被利用时，此断言失败导致软件意外中止，从而造成拒绝服务（DoS）状态，破坏会议服务的可用性。该漏洞影响版本35.0至37.2，在版本38.0中引入了修复。CVSS v3.1基本评分为7.5，反映了由于其网络攻击向量、低攻击复杂性、无需特权或用户交互以及对可用性的重大影响而导致的高严重性。对保密性或完整性没有影响。迄今为止，尚未报告有公开的漏洞利用方式或主动攻击行为。远程攻击者可以利用此漏洞破坏通信基础设施，可能影响依赖Pexip Infinity的业务连续性和操作工作流程。缺乏身份验证要求以及信令组件的网络可访问性增加了风险。该漏洞凸显了在实时通信平台中进行稳健输入验证以防止断言失败和服务中断的重要性。

潜在影响

对于欧洲组织而言，CVE-2025-48704的主要影响是基于Pexip Infinity的视频会议系统可能遭受拒绝服务。这可能中断关键通信渠道，尤其是在金融、政府、医疗保健和大型企业等严重依赖远程协作的领域。可用性影响可能导致操作延迟、生产力下降以及长时间停机期间潜在的经济损失。由于该漏洞不影响保密性或完整性，数据泄露或未经授权的数据篡改并非直接问题。然而，统一通信中的服务中断可能间接影响紧急情况下的应急响应和协调。拥有地理分布式团队或通过Pexip进行敏感谈判的组织可能面临更高的操作影响风险。已知漏洞利用方式的缺失降低了直接威胁，但并未消除风险，尤其是在攻击者可能在披露后开发漏洞利用方式的情况下。如果服务中断影响面向客户的操作，该漏洞还会带来声誉风险。总体而言，对于依赖Pexip Infinity进行持续可靠通信的实体而言，影响是显著的。

缓解建议

1. 尽快将受影响的Pexip Infinity安装升级到版本38.0或更高版本，以消除该漏洞。
2. 在可能打补丁之前，实施网络级控制，例如防火墙规则，以限制对信令组件的访问，仅允许受信任的IP地址和内部网络访问。
3. 采用入侵检测/防御系统（IDS/IPS），并配置签名或异常检测，以识别可能触发断言的畸形信令消息。
4. 对信令接口进行定期输入验证审计和模糊测试，以主动识别类似的漏洞。
5. 对网络进行分段，将Pexip Infinity服务器与普通用户网络隔离，减少对外部攻击者的暴露。
6. 监控系统日志和服务运行状况指标，查找可能表明攻击尝试的异常崩溃或重启迹象。
7. 制定并测试专门针对视频会议服务中断的事件响应计划，以尽量减少操作中断。
8. 联系Pexip支持并订阅安全公告，以获取有关补丁和缓解指南的及时更新。

受影响国家

英国、德国、法国、瑞典、挪威、丹麦、荷兰、芬兰