一、 漏洞 CVE-2025-27142 基础信息
漏洞标题
LocalSend文件上传端点存在路径遍历漏洞使得附近设备能够执行任意命令
来源:AIGC 神龙大模型
漏洞描述信息
LocalSend 是一款免费的开源应用,允许用户通过本地网络在附近设备间安全地共享文件和消息,无需互联网连接。在1.17.0版本之前,由于在 `POST /api/localsend/v2/prepare-upload` 和 `POST /api/localsend/v2/upload` 接口中的路径未进行过滤处理,恶意文件传输请求可以将文件写入系统中的任意位置,从而导致远程命令执行。附近设备发送的恶意文件传输请求可以将文件写入任意目录,这通常允许通过 Windows 的启动文件夹或 Linux 的 Bash 相关文件执行命令。如果用户启用了 `Quick Save` 功能,它将无须用户的显式操作而静默地写入文件。该漏洞在1.17.0版本中得到修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
LocalSend path traversal vulnerability in the file upload endpoint allows nearby devices to execute arbitrary commands
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LocalSend is a free, open-source app that allows users to securely share files and messages with nearby devices over their local network without needing an internet connection. Prior to version 1.17.0, due to the missing sanitization of the path in the `POST /api/localsend/v2/prepare-upload` and the `POST /api/localsend/v2/upload` endpoint, a malicious file transfer request can write files to the arbitrary location on the system, resulting in the remote command execution. A malicious file transfer request sent by nearby devices can write files into an arbitrary directory. This usually allows command execution via the startup folder on Windows or Bash-related files on Linux. If the user enables the `Quick Save` feature, it will silently write files without explicit user interaction. Version 1.17.0 fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27142 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-27142 的情报信息