一、 漏洞 CVE-2025-58161 基础信息
漏洞信息
# MobSF GET /download 路径遍历漏洞
## 概述
MobSF 是一款用于移动应用安全测试的开源工具。在版本 4.4.0 中存在一个目录遍历漏洞,影响文件下载功能的权限控制。
## 影响版本
- 受影响版本:4.4.0
- 修复版本:4.4.1
## 细节
GET 请求处理 `/download/` 路由时,使用 `os.path.commonprefix` 进行字符串路径前缀检查,验证逻辑不安全。该方式仅基于字符串前缀对比,而非对实际文件路径进行规范化判断,导致攻击者可利用这一方式进行路径逃逸。
举例说明:
- 若合法下载目录为 `/var/www/downloads`,攻击者可通过构造路径访问 `/var/www/downloads_bak` 或 `/var/www/downloads.old` 等相邻路径中的文件。
- 此攻击需具备用户身份认证。
## 影响
攻击者可以绕过目录访问限制,下载不在预期下载目录内的文件,可能造成敏感数据泄露。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-58161 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-58161 的情报信息
-
标题: Release v4.4.1 · MobSF/Mobile-Security-Framework-MobSF · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Path Traversal in GET /download/<filename> using absolute filenames in MobSF data directory · Advisory · MobSF/Mobile-Security-Framework-MobSF · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: [Security] Fix Vulnerabilities Aug 2025 MobSF v4.4.1 (#2545) · MobSF/Mobile-Security-Framework-MobSF@7f3bc08 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![[Security] Fix Vulnerabilities Aug 2025 MobSF v4.4.1 (#2545) · MobSF/Mobile-Security-Framework-MobSF@7f3bc08 · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-09-02/screenshot-full-2025-09-02T16-33-52.143Z-85d55b47e565927b2388.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-58161
四、漏洞 CVE-2025-58161 的评论
暂无评论