CVE-2025-11346：ILIAS反序列化漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-11346

漏洞类型

反序列化漏洞

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ILIAS

漏洞概述

CVE-2025-11346是ILIAS学习管理系统中存在的一个安全漏洞。该漏洞影响ILIAS的Base64 Decoding Handler组件中的unserialize函数，攻击者可以通过操纵f_settings参数触发不安全的反序列化操作。该漏洞可以被远程利用，攻击者无需用户交互即可发起攻击，但需要低权限认证。

ILIAS是一款广泛使用的开源学习管理系统（e-Learning），被全球众多高校和教育机构采用。该漏洞的CVSS评分为6.3，属于中等严重级别，虽然单项影响均为低，但组合利用可能导致远程代码执行（RCE），对教育机构的信息系统安全构成严重威胁。

根据安全研究团队SRLabs的分析，该漏洞是ILIAS系列漏洞研究的一部分（Breaking ILIAS Part 2），研究者发现了三个可导致远程代码执行的漏洞链。攻击者通过精心构造的序列化数据，经过Base64编码后发送到目标服务器，在反序列化过程中触发恶意对象的加载与执行，从而实现对目标系统的控制。该漏洞已于2025年10月6日公开披露，官方已发布修复版本，建议用户尽快升级。

技术细节

该漏洞的核心问题在于ILIAS的Base64 Decoding Handler组件对用户可控的f_settings参数进行了不安全的反序列化操作。具体技术细节如下：

1. **漏洞位置**：ILIAS的Base64 Decoding Handler组件中的unserialize()函数调用点。

2. **漏洞原理**：PHP的unserialize()函数在反序列化过程中会自动调用对象的魔术方法（如__wakeup()、__destruct()等）。当攻击者能够控制传入反序列化函数的数据时，可以通过构造特定的序列化对象链（POP gadget chain），触发预定义的魔术方法，从而执行任意代码或敏感操作。

3. **攻击流程**：
- 攻击者首先需要获取目标系统的低权限账户（PR:L要求）；
- 构造恶意的PHP序列化字符串，其中包含利用gadget chain的对象；
- 将序列化数据进行Base64编码；
- 将编码后的数据作为f_settings参数发送到目标端点；
- 服务器接收后进行Base64解码并调用unserialize()函数；
- 反序列化过程中触发魔术方法，导致任意代码执行。

4. **利用条件**：需要低权限认证（PR:L），无需用户交互（UI:N），可通过网络远程利用（AV:N）。

5. **影响范围**：所有使用ILIAS 8.23及以下、9.13及以下、10.1及以下版本的系统均受影响。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者首先识别目标ILIAS实例的版本，确认其版本在受影响范围内（≤8.23/9.13/10.1），并定位到使用Base64 Decoding Handler组件的功能端点。

STEP 2

步骤2：获取低权限凭证

由于漏洞利用需要低权限认证（PR:L），攻击者通过钓鱼、凭证填充或注册等方式获取目标系统的合法低权限账户。

STEP 3

步骤3：构造POP Gadget链

分析ILIAS代码库中可用的PHP类，识别可被利用的魔术方法（如__destruct、__wakeup等），构造完整的Property-Oriented Programming (POP) gadget链。

STEP 4

步骤4：序列化恶意载荷

使用PHP的serialize()函数将构造的恶意对象链进行序列化，然后通过Base64编码，生成最终的攻击载荷。

STEP 5

步骤5：发送恶意请求

将编码后的载荷作为f_settings参数，通过HTTP POST请求发送到ILIAS的漏洞端点。服务器接收后进行Base64解码并调用unserialize()函数。

STEP 6

步骤6：触发反序列化与代码执行

反序列化过程中自动触发gadget链中的魔术方法，攻击者在目标服务器上执行任意代码，实现远程代码执行（RCE）。

STEP 7

步骤7：后渗透阶段

获取服务器控制权后，攻击者可进行权限提升、数据窃取、植入后门、横向移动等进一步攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-11346 - ILIAS Deserialization Vulnerability PoC
 * Target: ILIAS Base64 Decoding Handler - unserialize() on f_settings
 * Vulnerability: Unsafe deserialization leading to RCE
 *
 * Note: This PoC demonstrates the concept of the deserialization attack.
 * A real exploit requires a working POP gadget chain specific to the
 * target ILIAS installation's libraries.
 */

// Step 1: Define a malicious class that will be triggered during deserialization
class MaliciousGadget {
    public $cmd;

    public function __destruct() {
        // This destructor is automatically called during unserialize()
        // In a real exploit, this would execute system commands
        echo "[+] Deserialization triggered!\n";
        echo "[+] Command would execute: " . $this->cmd . "\n";
        // system($this->cmd);  // Actual command execution in real exploit
    }
}

// Step 2: Create the malicious payload object
$payload = new MaliciousGadget();
$payload->cmd = "id; whoami; cat /etc/passwd";

// Step 3: Serialize the object
$serialized = serialize($payload);
echo "[*] Serialized payload: " . $serialized . "\n";

// Step 4: Base64 encode the serialized data (as expected by ILIAS handler)
$encoded = base64_encode($serialized);
echo "[*] Base64 encoded payload: " . $encoded . "\n";

// Step 5: Simulate the exploit request
// The f_settings parameter is sent to the vulnerable endpoint
$target_url = "https://target-ilias-instance/ilias.php";
$post_data = array(
    'f_settings' => $encoded,
    // Additional parameters may be required depending on the specific endpoint
);

/*
 * Real exploitation steps:
 * 1. Obtain valid low-privilege credentials to the ILIAS instance
 * 2. Identify the vulnerable endpoint accepting f_settings parameter
 * 3. Find or construct a POP gadget chain using ILIAS's available classes
 * 4. Send the crafted payload via POST request
 * 5. Achieve Remote Code Execution on the target server
 */

// For verification, demonstrate the unsafe unserialize behavior:
// echo "[*] Triggering unserialize...\n";
// $result = unserialize(base64_decode($encoded));
?>

影响范围

ILIAS < 8.24

ILIAS 9.x < 9.14

ILIAS 10.x < 10.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制对受影响端点的网络访问，仅允许可信IP地址访问；2）在Web服务器层面部署WAF规则，检测和阻止包含可疑序列化数据的请求；3）使用PHP配置中的 unserialize() 函数替代方案，如 json_decode() 处理 f_settings 参数；4）监控ILIAS日志中的异常反序列化活动；5）限制PHP进程的系统权限，减少潜在损害；6）尽快安排升级到修复版本（8.24/9.14/10.2）以彻底解决该漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11346
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11346
3 Details https://www.cvedetails.com/cve/CVE-2025-11346/
4 VulDB https://vuldb.com/cve/CVE-2025-11346
5 Link https://vuldb.com/?ctiid.327231
6 Link https://vuldb.com/?id.327231
7 Link https://vuldb.com/?submit.664892
8 Link https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2113
9 Link https://srlabs.de/blog/breaking-ilias-part-2-three-to-rce