一、 漏洞 CVE-2025-7108 基础信息
漏洞信息
                                        # 瑞赛科技Y9 数字基础设施 Y9FileController.java deleteFile 目录穿越漏洞

## 漏洞概述
在risesoft-y9 Digital-Infrastructure版本9.6.7及以下中发现了一个被分类为关键级别的漏洞。该漏洞影响了文件 `/Digital-Infrastructure-9.6.7/y9-digitalbase-webapp/y9-module-filemanager/risenet-y9boot-webapp-filemanager/src/main/java/net/risesoft/y9public/controller/Y9FileController.java` 中的 `deleteFile` 函数。通过操纵参数 `fullPath` 导致路径遍历漏洞。攻击者可以从远程进行利用。漏洞利用细节已公开,但厂商未对此披露做出任何回应。

## 影响版本
- risesoft-y9 Digital-Infrastructure 9.6.7及以下

## 漏洞细节
攻击者可以通过远程操纵函数 `deleteFile` 中的参数 `fullPath` 实现路径遍历。这允许攻击者访问或操作其本不应访问的文件系统路径。该漏洞的利用细节已经公开,极大增加了被恶意利用的风险。

## 漏洞影响
该漏洞可能导致服务器文件系统中的未经授权的文件访问和操作。攻击者能够远程利用此漏洞进行文件删除或访问,潜在影响包括数据泄露、数据破坏或进一步的安全威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
risesoft-y9 Digital-Infrastructure Y9FileController.java deleteFile path traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability classified as critical was found in risesoft-y9 Digital-Infrastructure up to 9.6.7. Affected by this vulnerability is the function deleteFile of the file /Digital-Infrastructure-9.6.7/y9-digitalbase-webapp/y9-module-filemanager/risenet-y9boot-webapp-filemanager/src/main/java/net/risesoft/y9public/controller/Y9FileController.java. The manipulation of the argument fullPath leads to path traversal. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Digital-Infrastructure 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Digital-Infrastructure是有生软件(Risesoft)开源的一款管理支撑平台。 Digital-Infrastructure 9.6.7及之前版本存在路径遍历漏洞,该漏洞源于文件Y9FileController.java中参数fullPath处理不当,可能导致路径遍历。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7108 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-7108 的情报信息

  • 标题: cve-proofs/POC-20250621-01.md at main · ShenxiuSec/cve-proofs · GitHub -- 🔗来源链接

    标签: exploit

    神龙速读
    cve-proofs/POC-20250621-01.md at main · ShenxiuSec/cve-proofs · GitHub

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: Submit #601825: risesoft-y9 Digital-Infrastructure v9.6.7 Path Traversal -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #601825: risesoft-y9 Digital-Infrastructure v9.6.7 Path Traversal

  • 标题: CVE-2025-7108 risesoft-y9 Digital-Infrastructure Y9FileController.java deleteFile path traversal (EUVD-2025-20185) -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2025-7108 risesoft-y9 Digital-Infrastructure Y9FileController.java deleteFile path traversal (EUVD-2025-20185)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-7108