事件回顾:WAF 攻击日志中的可疑请求
今天打开百度云防护的安全总览,在攻击详情里看到一条熟悉又扎眼的告警:Privilege_bypass.CVE-2025-5545.A,安全引擎标注为 中风险,权限绕过 / 路径遍历,攻击目标直指 oasys-show-show- 相关路径。从日志时间来看,攻击请求在极短时间内轮番试探,自动化脚本的味道很重。
这类攻击在中小企业的 OA 系统上并不少见,而 CVE-2025-5545 正是近期被收录的一个典型路径遍历漏洞。下面我把它拆开来讲清楚:漏洞原理是什么、影响多大,以及普通站长和企业运维如何依赖百度云防护的内置规则实现零配置自动拦截。
一、CVE-2025-5545 漏洞深度剖析
1. 漏洞基本档案
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2025-5545 |
| CVSS 评分 | 5.3(中危) |
| 漏洞类型 | 路径遍历(CWE-22: Path Traversal) |
| 受影响产品 | aaluoxiang oa_system |
| 受影响版本 | 提交 5b445a6227b51cee287bd0c7c33ed94b801a82a5 及之前版本 |
| 攻击方式 | 远程可利用,EXP 已公开 |
| 收录时间 | 2025 年 6 月 4 日 |
信息来源:MITRE CVE 官方库与美国国家漏洞数据库(NVD)
2. 漏洞根因:一行代码引发的路径穿越
漏洞出在 ProcedureController.java 文件的 image 函数:
src/main/java/cn/gson/oasys/controller/process/ProcedureController.java该函数在构造文件路径时,直接将外部输入拼接到路径字符串中,没有对 ../、..\\ 等路径穿越字符做过滤或规范化处理。攻击者只需在请求参数中注入类似 ../../etc/passwd 或 ../../config/database.yml 的 payload,就能跳出 Web 根目录,读取服务器上的任意文件。
用一个通俗的比喻:你家门禁系统允许访客报房间号,然后由系统自动领路。但现在有人发现,只要在房间号前面加上“../../”,系统就会把访客带到你根本没打算开放的档案室去。
3. CWE-22 路径遍历的技术本质
这个漏洞对应 CWE-22(路径遍历)类别,核心问题是:
产品使用外部输入构造路径名时,未能正确清除路径名中的特殊元素,导致路径名解析到受限目录之外的位置。
这与传统的 SQL 注入有异曲同工之处——都是把用户可控的数据当作指令执行。区别在于这里拼接的不是 SQL,而是文件路径。
4. 已公开 PoC —— 威胁迫在眉睫
NVD 的评估中明确指出:Exploit has been disclosed to the public and may be used——攻击利用方法已经公开,随时可能被拿来批量扫描。在 GitHub 安全研究仓库中,已经有该漏洞的详细利用说明,同时 VulDB 和 EUVD 也都收录了该漏洞的完整技术细节。这意味着攻击门槛极低,攻击者可以直接复用现成的 PoC 脚本对公网暴露的 OA 系统进行批量扫描和利用。
二、攻击能造成什么后果?
虽然 CVSS 评分只有 5.3(中危),但对于中小企业和站长来说,实际危害绝不能低估:
- 配置文件泄露:
application.properties、web.xml、.env这类文件一旦被读走,数据库密码、API 密钥全部暴露; - 源码窃取:可以通过路径遍历读取
.java、.class文件进行逆向,完整还原业务逻辑; - 权限提升的跳板:如果攻击者同时能读到
/etc/shadow(Linux)或 SAM 文件(Windows),配合其他漏洞就能进一步提权; - 日志污染溯源困难:攻击者拿到数据库配置后,可以通过正常业务的 API 操作核心数据,事后追查难度极高。
对于站长来说,你的 OA 系统、后台管理面板、甚至一些企业官网的后台,都有可能成为这类漏洞的攻击目标。尤其是使用开源框架二次开发的系统,安全审计往往不到位,这类路径遍历漏洞几乎是“标配”。
三、百度云防护如何自动拦截 —— 内置 Web 基础防护规则解析
回到文章开头提到的场景,这次 CVE-2025-5545 的攻击请求之所以被精准识别并拦截,依靠的就是百度云防护企业版内置的 Web 基础防护引擎,无需用户手动配置任何规则。
1. Web 基础防护引擎架构
百度云防护的 Web 基础防护引擎基于百度安全 AI 分析能力,覆盖 OWASP TOP 10 中所有常见 Web 威胁。其内置的威胁检测体系明确包含以下攻击类型:
- SQL 注入
- 非授权访问
- 目录遍历(路径绕过)
- XSS 跨站脚本
- CSRF 跨站请求伪造
- Webshell
- 木马
“目录遍历(路径绕过)” 赫然在列,CVE-2025-5545 这类路径遍历漏洞正好落在它的检测范围内。
2. 三层递进的防护等级
根据业务场景灵活选择:
| 防护等级 | 适用场景 | 对 CVE-2025-5545 的防护效果 |
|---|---|---|
| 中级策略集(默认) | 满足大多数场景下的 Web 防护需求,误报率低 | ✅ 拦截明显的 ../ 路径遍历攻击 |
| 低级策略集(宽松) | 误报较多的场景,仅拦截攻击特征明显的请求 | ⚠️ 可能放行部分变种绕过 |
| 高级策略集(严格) | 对安全要求极高的场景,可拦截复杂绕过攻击 | ✅ 拦截包括编码变种在内的复杂路径遍历 |
默认的中级策略集就能拦截 CVE-2025-5545,如果需要更全面的防护,可以升级为高级策略集。
3. 关键能力:多层解码检测
攻击者经常会对 ../ 进行 URL 编码、Unicode 编码等变形绕过。百度云防护的 Web 基础防护规则支持 7 种不同格式的解码,包括 JSON、XML、Multipart 等,这些解码能力极大提升了路径遍历攻击的检测准确率,编码绕过的伎俩在它面前基本无效。
4. 拦截模式 vs 观察模式
每条内置规则都支持两种动作:
- 拦截模式:攻击请求立即阻断,返回 403 拦截页面,这是我们推荐的默认设置;
- 观察模式:只记录不拦截,适合首次部署 WAF 时试运行,分析有没有误拦截。
如果你是新接入的网站,可以先开几天观察模式,确认业务正常后再切成拦截——这样既安全又稳妥。
四、自定义规则补充拦截
除了依赖内置规则,你也可以手动配置自定义规则来进一步精细化防御。百度云防护的自定义规则中,URI 字段专门用于检查完整的请求地址(含参数),直接覆盖路径遍历、SQL 注入、命令执行等攻击。
配置示例:阻断对特定 OA 路径的恶意请求
| 条件 | 字段 | 运算符 | 值 |
|---|---|---|---|
| 条件一 | URI | 包含 | ../ |
| 且 | URI Path | 前缀匹配 | /oasys/ |
处置动作:拦截
这样一条规则可以阻断所有对 /oasys/ 路径下包含 ../ 的请求,精准打击 CVE-2025-5545 及其他针对 OA 系统的路径遍历攻击。
五、站长如何自查与加固?
1. 检查是否被扫描
登录百度云防护控制台,依次进入以下路径查看攻击日志:
Web应用防火墙 → 安全总览 → 攻击详情
如果在日志中看到 Privilege_bypass.CVE-2025-5545 或 Path_bypass.CVE-2025-5545 的告警,说明你的站点已经被盯上了。好消息是:标黄/标红的告警意味着百度云防护已经帮你拦截了这些攻击。
2. 防护建议
- 确认 Web 基础防护已开启:没有开的话,登录百度云防护控制台 → Web应用防火墙 → 防护配置 → Web防护 → Web基础防护,选择“中级策略集”作为默认防护等级;
- 对 OA / 后台系统配置高级策略集:如果你的站点运行 OA 或后台管理系统,将 Web 基础防护级别提升至“高级策略集”;
- 配合其他策略形成纵深:除了 Web 基础防护,还可以通过 IP 黑名单封禁持续攻击的 IP,通过 CC 防护限制异常高频请求,通过 Bot 管理过滤自动化扫描脚本;
- 随时查看安全总览:养成每天看一眼的习惯,了解站点的攻击态势。
六、总结
CVE-2025-5545 的路径遍历漏洞,是 2025-2026 年 Web 安全中又一个典型案例:漏洞本身不算高危,但利用门槛极低,PoC 已经公开,自动化扫描工具早已上线。 对于中小企业和站长来说,逐一修复每个开源组件的漏洞根本不现实——开发资源有限、成本高昂,最好的方案就是让 WAF 把攻击挡在外面。
百度云防护企业版的 Web 基础防护引擎内置了路径遍历的检测特征库,对 ../ 路径穿越、编码变种绕过等攻击手段有成熟的识别能力,此次 CVE-2025-5545 的攻击请求被精准标记为 Privilege_bypass.CVE-2025-5545.A 并拦截,就是最好的实战验证。
你不需要看懂每一行漏洞细节。你需要的是一个靠谱的、自动跟进的、云端更新的 WAF,替你把脏活累活全干了。
主机吧网络安全博客 长期专注实战安全配置,提供一站式的 Web 安全产品供销与调优服务:
- 百度云防护 WAF:云原生 SaaS 部署,分钟级上线,内置 OWASP TOP 10 防护规则,自动拦截路径遍历、SQL 注入、XSS、Webshell 等攻击,0day 漏洞虚拟补丁持续更新,接入即生效;
- 高防 CDN:大流量 DDoS 清洗,配合 WAF 形成完整防御链条;
- 高防 IP / 高防服务器:适合对延迟敏感的实时业务;
- 京东云星盾 SCDN:一体化安全加速,兼顾防护与性能;
- SSL 证书:DV / OV / EV 全类型,适配微信小程序、百度智能小程序等场景;
- 百度 aipage 智能建站:快速搭建专业的官网和落地页。
需要代购、规则调优、攻防排查的,直接私信我。安全这件事,找对人比找对产品更重要。
——主机吧,一个天天和漏洞、攻击、防护策略打交道的老站长
2026 年 5 月 1 日
