CVE-2025-11352CVE-2025-11352是code-projects公司开发的Online Hotel Reservation System(在线酒店预订系统)1.0版本中存在的一个安全漏洞。该漏洞于2025年10月7日被公开披露,CVSS 3.1评分为6.3分,属于中危级别漏洞。漏洞存在于系统的管理后台文件/admin/addexec.php中,具体涉及对参数image的处理逻辑存在缺陷,导致攻击者可以绕过文件类型限制,执行不受限制的文件上传操作。该漏洞可被远程利用,攻击者仅需具备低权限(已登录管理员账号)即可发起攻击,无需用户交互。漏洞的成功利用可能导致恶意文件(如WebShell)被上传至服务器,进而造成服务器被完全控制、数据泄露、服务中断等严重后果。由于该漏洞的利用细节已被公开披露,且可能已有公开的利用代码(PoC),相关用户应尽快采取修复措施。该漏洞已被收录于多个公开漏洞数据库,包括NVD、cvedetails、vuldb等,参考链接中还包含了GitHub上的相关issue(https://github.com/zhicat/C/issues/29),表明该漏洞已有研究者关注并报告。
该漏洞的核心问题在于/admin/addexec.php文件对用户上传的image参数处理不当,未对上传文件的类型、扩展名或内容进行充分验证。具体技术分析如下:
1. **漏洞触发点**:/admin/addexec.php文件中的image参数处理逻辑。该文件负责处理酒店信息添加功能中的图片上传请求。
2. **漏洞原理**:在正常的文件上传场景中,服务器端应当对上传文件的MIME类型、文件扩展名、文件内容(魔术字节/Magic Bytes)进行严格校验,以防止恶意文件上传。然而,该系统在处理image参数时缺乏这些必要的验证步骤,导致攻击者可以将任意类型的文件(包括.php、.jsp、.asp等可执行脚本文件)伪装成图片文件进行上传。
3. **利用方式**:攻击者首先需要获取管理员账号的登录凭证(通过暴力破解、社会工程学或其他方式),然后构造恶意的HTTP上传请求,将包含WebShell代码的文件(如shell.php)上传至服务器。上传成功后,攻击者可通过浏览器直接访问上传的文件路径,执行任意PHP代码,实现对服务器的控制。
4. **攻击条件**:根据CVSS向量分析,攻击需要网络访问(AV:N)、低攻击复杂度(AC:L)、低权限要求(PR:L)、无需用户交互(UI:N),表明该漏洞易于利用。
5. **影响范围**:漏洞影响机密性、完整性、可用性均为低级别(C:L/I:L/A:L),但通过上传WebShell后,攻击者可进一步提权或发起更深层次的攻击,实际危害可能远超CVSS评分所反映的程度。