CVE-2025-13875CVE-2025-13875是Yohann0617 oci-helper应用中的一个中等严重性路径遍历漏洞。该漏洞存在于OCI配置上传功能中,影响版本至3.2.4。攻击者可以通过操纵文件上传功能中的File参数,利用路径遍历技术(如使用../等相对路径符)访问服务器上的敏感文件或写入任意文件。此漏洞无需用户交互即可被低权限用户远程利用,CVSS评分6.3,属于中危级别。漏洞已被公开披露并可能已被利用,厂商在收到安全通知后未做出任何回应。
该路径遍历漏洞位于src/main/java/com/yohann/ocihelper/service/impl/OciServiceImpl.java文件的addCfg函数中,属于OCI Configuration Upload组件。在处理文件上传时,应用程序未对用户提供的File参数进行充分的路径验证和清理。攻击者可以通过构造包含路径遍历序列(如../或..\)的文件路径,使应用程序在保存或处理文件时访问或写入预期目录之外的位置。这种漏洞可能导致敏感配置文件泄露、服务器配置被篡改,甚至在某些情况下实现远程代码执行。攻击者利用低权限账户即可远程发起攻击,无需任何用户交互。