关键信息 漏洞类型: 任意文件上传通过目录遍历在UploadFileAction 严重性: 临界 (Critical) CVE编号: CVE-2025-66480 受影响版本: < 1.4.2 修复版本: 无 CVE基础度量: - 攻击向量: 网络 (Network) - 攻击复杂度: 低 (Low) - 所需特权: 无 (None) - 用户交互: 无 (None) - 影响范围: 未改变 (Unchanged) - 机密性: 高 (High) - 完整性: 高 (High) - 可用性: 高 (High) 弱点: - CWE-22: 目录遍历 - CWE-434: 任意文件上传 影响 此漏洞允许攻击者将任意文件写入服务器文件系统上的任何位置,应用程序进程具有写权限。通过上传恶意文件(如脚本、可执行文件或覆盖配置文件,如authorized_keys或cron任务),攻击者可以实现远程代码执行(RCE)并完全危及服务器。 漏洞描述 一个临界漏洞存在于im-server组件中,与在com.xiaoleilu.loServer.action.UploadFileAction中发现的文件上传功能有关。 应用程序暴露了一个处理多部分文件上传的端点(/fs),但未能正确地对用户提供的文件名进行清理,直接连接了配置的存储目录和提取的请求中的文件名,而没有剥离目录遍历序列(例如,../..)。 利用概念(PoC) 漏洞可以通过以下Python脚本利用:伪造令牌并利用目录遍历上传文件。 漏洞利用代码