lsFusion服务器路径遍历漏洞分析:unpackFile函数的安全隐患
lsFusion服务器路径遍历漏洞分析
漏洞概述
lsFusion平台(版本<=6.0-beta2)中存在一个路径遍历漏洞,该漏洞被标识为CVE-2025-13265,严重程度为中等(CVSS评分5.3)。
技术细节
受影响组件
- 包名称: maven:lsfusion.platform:server
- 受影响版本: <= 6.0-beta2
- 已修复版本: 无
漏洞位置
漏洞位于文件server/src/main/java/lsfusion/server/physics/dev/integration/external/to/file/ZipUtils.java中的unpackFile函数。
攻击特征
- 攻击类型: 路径遍历(Path Traversal)
- 攻击复杂度: 低
- 攻击向量: 网络
- 权限要求: 低权限
- 用户交互: 无需用户交互
- 可远程利用: 是
安全影响
受影响系统指标
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 低
CVSS v4指标
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
弱点分类
- CWE标识: CWE-22
- 弱点描述: 对受限目录路径名的限制不当(路径遍历)
- 具体表现: 产品使用外部输入构造路径名时,未能正确清理路径名中的特殊元素,导致路径解析可突破受限目录
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-13265
- lsfusion/platform#1545
- https://vuldb.com/?ctiid.332600
- https://vuldb.com/?id.332600
- https://vuldb.com/?submit.689427
时间线
- NVD发布日期: 2025年11月17日
- GitHub咨询数据库发布日期: 2025年11月17日
- 最后更新日期: 2025年11月26日
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号