CVE-2025-14582 CVSS 4.7 中危

CVE-2025-14582 campcodes Online Student Enrollment System 1.0 任意文件上传漏洞

披露日期: 2025-12-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14582

漏洞类型

任意文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

campcodes Online Student Enrollment System 1.0

漏洞概述

campcodes Online Student Enrollment System 1.0存在任意文件上传漏洞，攻击者可以通过/admin/index.php?page=user-profile页面，利用userphoto参数上传恶意文件，可能导致远程代码执行。该漏洞无需认证即可利用，CVSS评分为4.7，属于中危漏洞。攻击者可以利用此漏洞上传webshell，获得系统控制权限。

技术细节

漏洞存在于/admin/index.php?page=user-profile页面的userphoto参数处理逻辑中。应用程序在处理用户头像上传时，未对上传文件的类型、内容和扩展名进行严格的验证。攻击者可以构造恶意请求，上传包含PHP代码的文件（如.php webshell），然后通过访问上传的文件路径执行任意代码。

攻击链分析

STEP 1

访问/admin/index.php?page=user-profile页面

STEP 2

构造恶意文件上传请求

STEP 3

上传webshell

STEP 4

访问上传的文件并执行代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X POST -F '[email protected]' https://target.com/admin/index.php?page=user-profile

影响范围

campcodes Online Student Enrollment System 1.0

防御指南

临时缓解措施

临时禁用文件上传功能，直到修复完成

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14582
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14582
3 Details https://www.cvedetails.com/cve/CVE-2025-14582/
4 VulDB https://vuldb.com/cve/CVE-2025-14582
5 Link https://github.com/CHENCHOUCHOU/vuln/issues/2
6 Link https://vuldb.com/?ctiid.336202
7 Link https://vuldb.com/?id.336202
8 Link https://vuldb.com/?submit.705524
9 Link https://vuldb.com/?submit.714164
10 Link https://www.campcodes.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表