CVE-2025-13423CVE-2025-13423是Campcodes公司开发的Retro Basketball Shoes Online Store 1.0版本中的一个高危安全漏洞。该漏洞存在于管理后台的产品图片上传功能中,攻击者可以通过操纵/admin/admin_product.php文件中的product_image参数,实现任意文件上传。成功利用此漏洞可导致远程代码执行、敏感数据泄露或进一步横向渗透。由于该漏洞不需要用户交互且利用代码已公开,对使用该系统的组织机构构成严重安全威胁。建议相关用户立即采取修复措施或应用临时缓解方案。
该漏洞属于典型的无限制文件上传漏洞,源于应用程序对用户上传文件缺少充分的验证机制。攻击者可以通过构造恶意请求,将包含WebShell的伪造图片文件上传至服务器。漏洞存在于/admin/admin_product.php文件的产品图片上传功能中,攻击者只需提供精心构造的multipart/form-data请求,将product_image参数替换为恶意PHP代码。由于系统未验证文件内容、扩展名或MIME类型,攻击者能够绕过安全检查,直接将.php文件写入服务器可执行目录。一旦文件上传成功,攻击者即可通过访问该文件在服务器上执行任意命令,完全控制目标系统。