`pyLoad` 在 `json/upload` 接口存在路径遍历漏洞，允许任意文件写入

该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞在目标系统上执行任意代码，从而实现远程代码执行 (RCE)。此外，攻击者还可以利用此漏洞提升权限，获取对系统的更高级别访问权限。更糟糕的是，攻击者可能能够完全控制受影响的系统，并建立持久性后门。攻击者可以利用此漏洞窃取敏感数据、破坏系统配置，甚至利用受损系统作为跳板攻击其他系统，扩大攻击范围。

Organizations running pyLoad-ng in production environments, particularly those with limited access controls or inadequate input validation, are at risk. Shared hosting environments where multiple users share the same pyLoad instance are particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability and impact other users.

• python / server: Monitor pyLoad logs for file creation events in unexpected directories. Use journalctl -u pyload to filter for upload-related messages.

journalctl -u pyload | grep "upload" | grep ".."

• linux / server: Use lsof to identify processes accessing files outside of the intended upload directory.

lsof | grep pyload | grep "/path/to/uploads/../"

• generic web: Check access logs for requests to /json/upload with filenames containing directory traversal sequences (e.g., ../../../../etc/passwd).

grep "/json/upload.*\.\.\/\.\.\/" /var/log/apache2/access.log

1. 2025-07-21Disclosure

   disclosure

1. 已保留2025-07-16
2. 发布日期2025-07-21
3. 修改日期2025-07-23
4. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-54140 的风险，首要措施是立即将 pyLoad-ng 升级至 0.5.0b3.dev90 或更高版本。如果升级会造成中断，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，建议实施严格的文件上传验证，限制允许上传的文件类型和大小，并确保上传目录的权限设置正确。可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来检测和阻止恶意的文件上传请求。在升级后，请验证漏洞是否已成功修复，例如通过尝试上传一个包含恶意路径字符的文件，并确认系统拒绝该请求。