漏洞概述 漏洞类型:路径遍历导致根文件读取(Path Traversal to Root File Read) 漏洞描述:在Intelbras INVU 7016 FT的日志下载端点中存在本地文件包含(LFI)漏洞,允许任意文件读取,且以root权限执行。 CVE编号:CVE-22(Improper Limitation of a Pathname to a Restricted Directory) CVSS评分:7.7(High) 影响范围 受影响产品: - 厂商:Intelbras - 产品:INVU 7016 FT - 固件版本:3.004.00IB000.0.T (Build 2025-09-26) - Web界面版本:5.031.0.250926.1539217.AL.MV2 - 内核版本:Linux 5.15.73 (aarch64) 修复方案 实施白名单:对允许下载的文件目录进行白名单限制。 规范化路径:对路径进行规范化处理,并验证解析后的文件是否在允许的目录内。 输入验证:通过阻止路径遍历模式(如 、替代编码等)来净化输入。 最小权限原则:确保Web应用程序不以root权限运行。 用户组权限审查:审查用户组权限,限制敏感操作。 POC代码