CVE-2025-11272CVE-2025-11272是SeriaWei ZKEACMS内容管理系统中存在的一个权限绕过漏洞,影响版本至4.3。该漏洞位于ZKEACMS.Redirection组件的UrlRedirectionController.cs文件中,具体涉及POST请求处理器的Delete函数。由于该函数缺少适当的授权检查机制,低权限攻击者可以通过远程方式发送特制的POST请求,绕过权限验证执行URL重定向记录的删除操作。
该漏洞的CVSS 3.1评分为5.4,属于中危级别。攻击向量为网络(AV:N),攻击复杂度低(AC:L),仅需要低权限认证(PR:L),无需用户交互(UI:N)。漏洞对机密性影响较低(C:L),对完整性和可用性均有一定影响(I:L/A:L)。
该漏洞已于2025年10月4日公开披露,漏洞发现者为[email protected]。值得注意的是,漏洞利用代码已公开发布,可能被恶意攻击者利用。供应商在漏洞披露前已被通知,但未做出任何回应,这增加了用户面临安全风险的可能性。由于ZKEACMS是一款广泛使用的内容管理系统,该漏洞可能影响大量部署了该系统的网站,建议相关用户及时采取防护措施。
该漏洞的根本原因在于ZKEACMS.Redirection组件中UrlRedirectionController类的Delete方法缺少充分的授权验证机制。在ASP.NET MVC架构中,控制器方法通常通过[Authorize]特性或自定义授权过滤器来限制访问权限。然而,UrlRedirectionController的Delete方法在处理POST请求时,未对调用者的权限进行严格校验。
具体而言,攻击者只需拥有系统中的低权限账户(如普通用户或编辑者角色),即可通过构造特定的HTTP POST请求直接调用Delete接口,删除任意URL重定向记录,而无需管理员权限。攻击请求的目标URL通常为类似/UrlRedirection/Delete的端点,请求体中包含待删除条目的ID。
利用方式如下:
1. 攻击者首先通过合法途径获取一个低权限账户的认证凭证(如用户名和密码)。
2. 使用该凭证登录系统,获取有效的会话Cookie或Token。
3. 构造POST请求,提交到UrlRedirectionController的Delete端点,请求中携带目标重定向记录的ID。
4. 由于服务端缺少权限校验,请求被成功处理,目标URL重定向记录被删除。
此漏洞的危害在于:攻击者可以批量删除系统中的URL重定向配置,破坏网站的正常导航和SEO设置;此外,权限绕过的存在可能暗示系统中存在其他类似的授权缺陷,需要进行全面审查。