CVE-2025-15375CVE-2025-15375是EyouCMS中存在的一个反序列化安全漏洞。该漏洞存在于application/api/controller/Ajax.php文件中的arcpagelist Handler组件,攻击者可以通过操纵attstr参数利用unserialize函数执行反序列化操作。由于EyouCMS未对用户输入进行严格的过滤和验证,恶意构造的序列化数据可以被传入unserialize函数,从而触发反序列化漏洞,可能导致远程代码执行等严重后果。该漏洞的CVSS评分为6.3,属于中危级别,攻击复杂度低,无需特殊权限即可发起攻击。漏洞影响EyouCMS 1.7.7及以下版本,供应商已确认漏洞存在并发布了v1.7.8版本进行修复。
该漏洞的核心问题在于EyouCMS的Ajax.php控制器中的arcpagelist Handler组件对用户可控的attstr参数直接调用了PHP的unserialize()函数。在PHP中,unserialize()函数在处理恶意构造的序列化对象时可能触发魔术方法(如__wakeup、__destruct、__toString等),从而执行任意代码或造成其他安全风险。攻击者可以通过构造特定的序列化字符串,利用PHP反序列化特性配合POP链(Property-Oriented Programming)实现远程代码执行。漏洞存在于网络可访问的API接口中,攻击者只需通过HTTP请求携带恶意构造的attstr参数即可触发漏洞,无需高权限或用户交互。