Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00338
- 發信 Vendor: 正新橡膠工業股份有限公司
- Title: 正新橡膠工業股份有限公司 LFI 弱點
- Introduction: TimThumb 本地檔案包含漏洞(LFI)
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2025/04/24 15:00:57 : 新提交 (由 Elvis 更新此狀態)
- 2025/04/24 15:03:02 : 新提交 (由 Elvis 更新此狀態)
- 2025/04/24 15:05:11 : 新提交 (由 Elvis 更新此狀態)
- 2025/04/24 15:07:14 : 新提交 (由 Elvis 更新此狀態)
- 2025/04/24 15:09:00 : 新提交 (由 Elvis 更新此狀態)
- 2025/04/24 17:54:08 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/02 16:22:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/02 16:22:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/02 16:22:59 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/06/09 14:31:51 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/06/13 09:24:01 : 確認已修補 (由 Elvis 更新此狀態)
- 2025/06/17 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00338
- 通報者:summer78315 (Elvis)
- 風險:高
- 類型:本地檔案引入 (Local File Inclusion, LFI)
參考資料
漏洞說明: OWASP - Testing for Local File Inclusion
https://www.owasp.org/index.php/Testing_for_Local_File_Inclusion
Wikepedia 漏洞說明:
https://en.wikipedia.org/wiki/File_inclusion_vulnerability
OWASP Top 10 2007 - Malicious File Execution
https://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
相關網址
敘述
目標資訊
URL: https://52.230.71.152/includes/timthumb.php
Server: Apache/2.2.15 (CentOS)
TimThumb 版本: 2.8.13
漏洞說明
目標網站使用的 TimThumb 圖片縮圖工具版本為 v2.8.13,該版本存在已知的目錄穿越(Directory Traversal)與本地檔案包含(Local File Inclusion, LFI)漏洞。
攻擊者可以透過 src 參數向 TimThumb 傳入相對路徑,例如 ../images/logo.png,使 TimThumb 嘗試讀取網站內部路徑的檔案。
成功測試結果(證明漏洞成立)
實際透過 curl 傳送以下請求:
curl -sk "https://52.230.71.152/includes/timthumb.php?src=../images/logo.png" -o test.png
回傳圖片並儲存為本地檔案後,執行判斷:
file test.png
test.png: PNG image data, 100 x 100, 8-bit/color RGBA, non-interlaced
代表該圖片是由 TimThumb 成功回傳,並且來自網站內部 images 目錄的實體圖檔。
風險說明
此漏洞證明 TimThumb 並未正確限制可讀取的檔案目錄,造成攻擊者可透過目錄穿越取得:
內部網站資源(圖片、原始碼)
設定檔案(如 database config)
若結合上傳漏洞,可能導致遠端程式碼執行(RCE)
修補建議
移除 TimThumb 或升級至 2.8.14 以上安全版本。
若需保留,請實作:
realpath() 驗證路徑是否在指定目錄中
過濾 ../、php:// 等特殊字串
加強網站對於圖片處理邏輯的安全設計,避免檔案讀取可被外部參數控制。