CVE-2026-22218 Chainlit 框架任意文件读取漏洞全解析
第一步:向 /project/element 发送 PUT 请求,在请求体中注入一个包含任意文件路径(如 /etc/passwd)的 path 字段,触发服务器读取该文件并缓存,同时通过 WebSocket 获得一个"文件令牌"(chainlitKey)
第二步:携带这个文件令牌访问 /project/file/{chainlitKey},服务器直接把刚才读取的文件内容返回给攻击者
创建一个 demo.py
import chainlit as cl @cl.step(type="tool") async def tool(): # Fake tool await cl.sleep(2) return "Response from the tool!" @cl.on_message # this function will be called every time a user inputs a message in the UI async def main(message: cl.Message): """ This function is called every time a user inputs a message in the UI. It sends back an intermediate response from the tool, followed by the final answer. Args: message: The user's message. Returns: None. """ # Call the tool tool_res = await tool() await cl.Message(content=tool_res).send()利用 python 虚拟环境 方便搭建环境
python -m venv venv venv\Scripts\Activate.ps1 python -m pip install chainlit==2.9.3 #安装存在漏洞的 chainlit 版本 chainlit run demo.py -w运行构造好的 chainlit_file_read_exploit.py 指定 url 和需要读取的文件内容,就可以将文件打印出来
漏洞分析
第一步是通过调用PUT /project/element 接口注入恶意文件路径,当攻击者在请求参数中传入包含任意路径的path 字段时(如/etc/passwd),服务器端的persist_file() 函数会读取该路径指定的文件内容并将其复制到临时目录中,同时将临时文件路径与一个随机生成的文件标识符(file_id)建立映射关系并注入到当前会话的文件映射表(session.files)中,随后服务器通过 WebSocket 消息将这个文件标识符(chainlitKey)推送给客户端,攻击者需要监听 WebSocket 连接来捕获这个关键的文件ID。
server.py#update_thread_element
update_thread_element 函数接收到请求后,首先调用Element.from_dict() 方法解析请求体中的元素字典,该方法根据type 字段判断元素类型并创建对应的对象实例,当type 为custom 时会创建CustomElement 对象,随后服务器调用该对象的update()方法。
element.py#from_dict
在创建过程中from_dict() 方法会提取请求中的所有字段包括用户可控的path 字段并传递给对象构造函数,此时恶意路径(如/etc/passwd)被完整保存到CustomElement 对象的path属性中。
【----帮助网安学习,以下所有学习资料免费领!加vx:YJ-2021-1,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
element.py#CustomElement#update
调用CustomElement的update() 方法,该方法内部会调用父类Element 的send()方法。
element.py#Element#send
首先send() 方法调用await self._create(persist=persist)执行文件持久化处理
element.py#Element#create
_create() 方法检测到对象存在path 属性后会调用session.persist_file()函数
session.py#BaseSession#persist_file
session.persist_file() 函数,该函数使用aiofiles 异步读取攻击者指定路径的文件内容,将内容复制到会话专属的临时目录中(如/tmp/chainlit/{session_id}/{file_id}),同时生成一个随机的文件标识符(UUID格式),并在会话的文件映射表(session.files)中建立该标识符与临时文件路径的映射关系。
element.py#Element#send
成文件持久化后send() 方法执行第二个关键操作,调用await context.emitter.send_element(self.to_dict())将元素信息发送到前端
element.py#Element#to_dict
to_dict() 方法负责将CustomElement 对象转换为字典格式,该字典包含对象的所有关键属性如id、type、name、display 以及最重要的chainlitKey(即刚才获得的文件标识符)
emitter.py#send_element
转换后的字典通过send_element() 方法传递给emitter 的emit函数
该函数是在 WebSocket 连接建立时注入到会话对象中的闭包函数,它调用 Socket.IO 的全局发送方法将包含chainlitKey 的元素字典通过 WebSocket 推送给客户端,攻击者通过监听 WebSocket 消息流捕获事件名为element 的消息,从消息数据中提取chainlitKey字段的值即可获得文件标识符,至此完成第一步的路径注入、文件复制和标识符获取操作。
第二步是使用第一步获得的文件标识符访问GET /project/file/{file_id} 接口来读取文件内容,服务器根据请求中的session_id 参数定位到对应的会话对象,从该会话的文件映射表中查找文件ID对应的临时文件路径,由于权限检查存在if current_user: 的逻辑缺陷,未认证用户可以绕过权限验证,服务器直接使用FileResponse返回临时文件的内容,而该临时文件已经是目标敏感文件的完整副本,从而实现任意文件读取,整个攻击过程无需任何身份认证,攻击者仅需建立一个匿名 WebSocket 连接即可完成利用。
server.py#get_file
get_file() 函数通过WebsocketSession.get_by_id() 方法根据session_id 从全局会话字典中获取对应的会话对象,从该会话对象的files 映射表中查找file_id 对应的文件记录,获取其中存储的临时文件路径,最后使用FileResponse()直接返回该临时文件的内容给客户端,由于临时文件已经是目标敏感文件的完整副本,攻击者成功获得任意文件的内容。
漏洞修复
目前官方已发布修复版本,建议用户尽快更新至 Chainlit 的修复版本或更高版本:Chainlit ≥ 2.9.4
官方在 2.9.4 版本中通过引入_sanitize_custom_element() 输入清理函数修复了该漏洞,该函数采用白名单机制重构了update_thread_element() 和delete_thread_element() 两个接口的元素处理逻辑,在创建 CustomElement 对象时仅提取并验证 id、name、display、props 等合法字段,而将用户可控的 path 字段从输入参数中完全排除,使得攻击者即使在请求中注入包含路径遍历字符的恶意 path 值,该字段也会在对象构造阶段被自动过滤丢弃,无法传递到后续的文件操作流程中,从根本上阻断了通过/project/element 接口注入任意文件路径并通过/project/file/{chainlitKey}接口读取敏感文件的攻击链,有效防止了路径遍历漏洞的利用。
