CVE-2025-11660CVE-2025-11660 是 ProjectsAndPrograms School Management System 中存在的一个高危安全漏洞。该漏洞位于系统的 /assets/uploadSllyabus.php 文件中,由于对上传文件的类型和内容缺乏有效验证,攻击者可以通过构造恶意的文件上传请求,将任意类型的文件(包括 WebShell 等可执行脚本)上传至服务器。该漏洞的 CVSS 3.1 评分为 7.3,属于高危级别,其攻击向量为网络(AV:N),无需任何权限认证(PR:N),也无需用户交互(UI:N),攻击者可在远程直接发起攻击。漏洞影响系统的机密性、完整性和可用性,均为低级别影响。该漏洞已于 2025 年 10 月 13 日公开披露,相关的利用代码(Exploit)已公开发布,可能已被恶意攻击者用于实际攻击。由于该产品采用滚动发布(rolling release)模式进行持续交付,因此无法准确确定受影响的版本范围,但根据披露信息,受影响版本为截至提交哈希 6b6fae5426044f89c08d0dd101c7fa71f9042a59 的所有版本。此类漏洞通常被攻击者用于获取服务器控制权限,进一步实施数据窃取、植入后门、横向移动等恶意行为,对教育机构的信息系统安全构成严重威胁。
该漏洞的核心问题在于 /assets/uploadSllyabus.php 文件未对用户上传的文件进行充分的验证和过滤。具体而言,漏洞涉及对参数 'File' 的操控,攻击者可以通过修改 HTTP 请求中的文件上传字段,将恶意文件(如 PHP、ASP、JSP 等 WebShell 脚本)上传至服务器。由于缺乏以下关键安全控制:1)文件扩展名白名单验证;2)MIME 类型校验;3)文件内容检测;4)上传目录执行权限限制,导致上传的恶意脚本可被 Web 服务器解析执行。攻击者利用方式如下:首先,攻击者构造一个包含恶意 PHP 代码的文件(如包含 system($_GET['cmd']) 的 shell.php),然后通过 POST 请求将该文件提交至 /assets/uploadSllyabus.php 端点。由于该端点无需身份验证即可访问(PR:N),且无任何用户交互要求(UI:N),攻击过程完全自动化。成功上传后,攻击者通过浏览器访问上传的文件路径,即可执行任意服务器端命令,实现远程代码执行(RCE)。该漏洞的利用门槛极低,公开的 PoC 代码使得即使是技术能力较弱的攻击者也能轻松利用此漏洞。