CVE-2025-68670: discovering an RCE vulnerability in xrdp

Analyse de la vulnérabilité RCE dans xrdp (CVE-2025-68670)

Une vulnérabilité critique de type exécution de code à distance (RCE) a été identifiée dans le serveur de bureau à distance xrdp. Cette faille permet à un attaquant non authentifié de corrompre la pile mémoire (stack) et potentiellement de détourner le flux d’exécution du processus.

Points clés

• Origine de la faille : La vulnérabilité réside dans la fonction xrdp_wm_parse_domain_information, qui traite le nom de domaine envoyé par le client lors de la phase d’échange de paramètres sécurisés, avant l’authentification.
• Mécanisme : Le logiciel effectue une copie non sécurisée du nom de domaine vers une mémoire tampon de taille fixe (resultIP de 256 octets). En envoyant un nom de domaine spécifiquement crafté (exploitant la différence de taille entre l’encodage UTF-16 et UTF-8), un attaquant peut provoquer un dépassement de tampon (buffer overflow).
• Impact : L’écrasement de la pile mémoire peut entraîner le plantage du service (Déni de Service) ou permettre l’exécution de code arbitraire si les protections système sont contournées.
• Exploitation : L’attaque ne nécessite aucun identifiant valide, car elle survient lors de la phase initiale de connexion RDP.

Vulnérabilité identifiée

• CVE-2025-68670 : Dépassement de tampon basé sur la pile (Stack-based Buffer Overflow) dans xrdp.

Recommandations

• Mise à jour immédiate : Appliquer les correctifs fournis par les mainteneurs du projet. La vulnérabilité a été corrigée dans la version 0.10.5.
• Correctifs rétroactifs : Si vous utilisez des versions plus anciennes, des correctifs ont été rétroportés pour les branches 0.9.27 et 0.10.4.1.
• Sécurisation système : Bien que les protections de type stack canary (protection contre l’écrasement de la pile) puissent atténuer l’exploitation, les mainteneurs de xrdp recommandent formellement de ne pas s’y fier comme seule mesure de défense et d’effectuer la mise à jour logicielle.

Source