CVE-2026-22218 Chainlit 框架任意文件读取漏洞全解析

📅 2026/7/2 2:47:39
CVE-2026-22218 Chainlit 框架任意文件读取漏洞全解析
第一步向 /project/element 发送 PUT 请求在请求体中注入一个包含任意文件路径如 /etc/passwd的 path 字段触发服务器读取该文件并缓存同时通过 WebSocket 获得一个文件令牌chainlitKey第二步携带这个文件令牌访问 /project/file/{chainlitKey}服务器直接把刚才读取的文件内容返回给攻击者创建一个 demo.pyimport chainlit as cl ​ ​ cl.step(typetool) async def tool(): # Fake tool await cl.sleep(2) return Response from the tool! ​ ​ cl.on_message # this function will be called every time a user inputs a message in the UI async def main(message: cl.Message): This function is called every time a user inputs a message in the UI. It sends back an intermediate response from the tool, followed by the final answer. ​ Args: message: The users message. ​ Returns: None. ​ ​ # Call the tool tool_res await tool() ​ await cl.Message(contenttool_res).send()利用 python 虚拟环境 方便搭建环境python -m venv venv venv\Scripts\Activate.ps1 python -m pip install chainlit2.9.3 #安装存在漏洞的 chainlit 版本 chainlit run demo.py -w运行构造好的 chainlit_file_read_exploit.py 指定 url 和需要读取的文件内容就可以将文件打印出来漏洞分析第一步是通过调用PUT /project/element​ 接口注入恶意文件路径当攻击者在请求参数中传入包含任意路径的path​ 字段时如/etc/passwd​服务器端的persist_file()​ 函数会读取该路径指定的文件内容并将其复制到临时目录中同时将临时文件路径与一个随机生成的文件标识符file_id建立映射关系并注入到当前会话的文件映射表session.files中随后服务器通过 WebSocket 消息将这个文件标识符chainlitKey推送给客户端攻击者需要监听 WebSocket 连接来捕获这个关键的文件ID。server.py#update_thread_elementupdate_thread_element​ 函数接收到请求后首先调用Element.from_dict()​ 方法解析请求体中的元素字典该方法根据type​ 字段判断元素类型并创建对应的对象实例当type​ 为custom​ 时会创建CustomElement​ 对象随后服务器调用该对象的update()方法。element.py#from_dict在创建过程中from_dict()​ 方法会提取请求中的所有字段包括用户可控的path​ 字段并传递给对象构造函数此时恶意路径如/etc/passwd​被完整保存到CustomElement​ 对象的path属性中。【----帮助网安学习以下所有学习资料免费领加vxYJ-2021-1备注 “博客园” 获取】① 网安学习成长路径思维导图② 60网安经典常用工具包③ 100SRC漏洞分析报告④ 150网安攻防实战技术电子书⑤ 最权威CISSP 认证考试指南题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂面试题合集含答案⑧ APP客户端安全检测指南安卓IOSelement.py#CustomElement#update调用CustomElement​的update()​ 方法该方法内部会调用父类Element​ 的send()方法。element.py#Element#send首先send()​ 方法调用await self._create(persistpersist)执行文件持久化处理element.py#Element#create_create()​ 方法检测到对象存在path​ 属性后会调用session.persist_file()函数session.py#BaseSession#persist_filesession.persist_file()​ 函数该函数使用aiofiles​ 异步读取攻击者指定路径的文件内容将内容复制到会话专属的临时目录中如/tmp/chainlit/{session_id}/{file_id}​同时生成一个随机的文件标识符UUID格式并在会话的文件映射表session.files中建立该标识符与临时文件路径的映射关系。element.py#Element#send成文件持久化后send()​ 方法执行第二个关键操作调用await context.emitter.send_element(self.to_dict())将元素信息发送到前端element.py#Element#to_dictto_dict()​ 方法负责将CustomElement​ 对象转换为字典格式该字典包含对象的所有关键属性如id​、type​、name​、display​ 以及最重要的chainlitKey即刚才获得的文件标识符emitter.py#send_element转换后的字典通过send_element()​ 方法传递给emitter​ 的emit函数该函数是在 WebSocket 连接建立时注入到会话对象中的闭包函数它调用 Socket.IO 的全局发送方法将包含chainlitKey​ 的元素字典通过 WebSocket 推送给客户端攻击者通过监听 WebSocket 消息流捕获事件名为element​ 的消息从消息数据中提取chainlitKey字段的值即可获得文件标识符至此完成第一步的路径注入、文件复制和标识符获取操作。第二步是使用第一步获得的文件标识符访问GET /project/file/{file_id}​ 接口来读取文件内容服务器根据请求中的session_id​ 参数定位到对应的会话对象从该会话的文件映射表中查找文件ID对应的临时文件路径由于权限检查存在if current_user:​ 的逻辑缺陷未认证用户可以绕过权限验证服务器直接使用FileResponse返回临时文件的内容而该临时文件已经是目标敏感文件的完整副本从而实现任意文件读取整个攻击过程无需任何身份认证攻击者仅需建立一个匿名 WebSocket 连接即可完成利用。server.py#get_fileget_file()​ 函数通过WebsocketSession.get_by_id()​ 方法根据session_id​ 从全局会话字典中获取对应的会话对象从该会话对象的files​ 映射表中查找file_id​ 对应的文件记录获取其中存储的临时文件路径最后使用FileResponse()直接返回该临时文件的内容给客户端由于临时文件已经是目标敏感文件的完整副本攻击者成功获得任意文件的内容。漏洞修复目前官方已发布修复版本建议用户尽快更新至 Chainlit 的修复版本或更高版本Chainlit ≥ 2.9.4官方在 2.9.4 版本中通过引入_sanitize_custom_element()​ 输入清理函数修复了该漏洞该函数采用白名单机制重构了update_thread_element()​ 和delete_thread_element()​ 两个接口的元素处理逻辑在创建 CustomElement 对象时仅提取并验证 id、name、display、props 等合法字段而将用户可控的 path 字段从输入参数中完全排除使得攻击者即使在请求中注入包含路径遍历字符的恶意 path 值该字段也会在对象构造阶段被自动过滤丢弃无法传递到后续的文件操作流程中从根本上阻断了通过/project/element​ 接口注入任意文件路径并通过/project/file/{chainlitKey}接口读取敏感文件的攻击链有效防止了路径遍历漏洞的利用。‍