Part01
漏洞概述
SUSE Manager管理平台存在一个严重安全漏洞(CVSS评分9.8),攻击者无需身份验证即可在所有客户端上实现远程代码执行(RCE, Remote Code Execution)并获取root权限。目前漏洞利用代码(PoC, Proof of Concept)已在concord.suse.cloud公开。
Part02
技术类型与影响范围
SUSE Manager中存在一项关键功能缺失认证漏洞,任何能够访问/rhn/websocket/minion/remote-commands WebSocket端口的攻击者,均可通过该漏洞以root权限执行任意命令。
该漏洞属于认证绕过(Authentication Bypass)类型,直接影响基于Linux的SUSE Manager管理平台。
成功利用后,攻击者能够:
- 绕过所有身份验证机制
- 在受控客户端上以root权限执行任意代码
- 完全控制所有接入SUSE Manager的终端设备
该漏洞影响以下版本SUSE Manager
-
容器镜像suse/manager/5.0/x86_64/server:5.0.5.7.30.1:0.3.7-150600.3.6.2之前版本
-
容器镜像suse/manager/5.0/x86_64/server:5.0.5.7.30.1:5.0.14-150600.4.17.1之前版本
-
系统镜像SLES15-SP4-Manager-Server-4-3-BYOS:4.3.33-150400.3.55.2之前版本
-
系统镜像SLES15-SP4-Manager-Server-4-3-BYOS-Azure:4.3.33-150400.3.55.2之前版本
-
系统镜像SLES15-SP4-Manager-Server-4-3-BYOS-EC2:4.3.33-150400.3.55.2之前版本
-
系统镜像SLES15-SP4-Manager-Server-4-3-BYOS-GCE:4.3.33-150400.3.55.2之前版本
-
SUSE Manager Server Module 4.3:0.3.7-150400.3.39.4之前版本
-
SUSE Manager Server Module 4.3:4.3.33-150400.3.55.2之前版本
Part03
风险提示
目前,漏洞利用代码(PoC, Proof of Concept)已由官方公开。经过测试,成功在无任何认证的情况下以 root 权限在客户端执行命令。为排除 Cookie 干扰,测试使用 Chrome 无痕模式复现漏洞,同样证实攻击有效。
SUSE已于2025年7月23日发布三项关键安全更新(SUSE-SU-2025:02478-1、SUSE-SU-2025:02476-1、SUSE-SU-2025:02475-1),更新包含针对此漏洞的修复。
建议所有使用SUSE Manager的企业立即采取以下措施:
- 获取并安装最新补丁
- 如无法立刻更新,建议临时隔离管理网络与其他业务系统
- 如无法立刻更新,建议监控异常root权限获取行为
- 优先更新存在互联网暴露面的系统
参考来源:
Bug 1246119 (CVE-2025-46811) – VUL-0: CVE-2025-46811: SUSE Multi Linux Manager: Critical Security Issue: Unprotected websocket endpoint
https://bugzilla.suse.com/show_bug.cgi?id=CVE-2025-46811
暂无评论内容