CVE-2025-57130CVE-2025-57130是ZwiiCMS内容管理系统中的一个高危安全漏洞,CVSS评分达到8.3分。该漏洞存在于ZwiiCMS的用户管理组件中,属于不正确的访问控制(Incorrect Access Control)问题。漏洞允许任何已认证的低权限用户通过发送精心构造的HTTP请求,访问和修改系统中任意其他用户的个人资料数据,包括管理员账户。此漏洞的危害在于它可能导致垂直权限提升,低权限攻击者可以获取管理员权限,从而完全控制整个CMS系统。攻击者可以利用此漏洞修改管理员密码、窃取敏感用户信息或在系统中植入恶意内容。由于该漏洞利用无需特殊工具且攻击复杂度低,对所有未修复的ZwiiCMS实例构成严重威胁。建议管理员立即升级到最新版本或在官方补丁发布前采取临时缓解措施。
该漏洞的根本原因在于ZwiiCMS的用户管理模块在处理用户资料修改请求时,未正确验证当前认证用户是否有权修改目标用户的资料。系统在接收HTTP请求时,仅检查了用户是否已登录(会话有效性),但未验证请求中的目标用户ID是否与当前登录用户匹配,也未进行适当的权限层级检查。攻击者可以通过拦截正常的用户资料修改请求,修改其中包含的用户ID参数为目标用户(通常是admin或user ID 1),然后重新发送请求。系统会错误地认为这是合法请求并执行资料更新操作。由于系统未对修改操作进行CSRF token验证或来源校验,攻击者可以在不同会话中重现攻击。此漏洞影响ZwiiCMS v13.6.07及之前所有版本,攻击者利用此漏洞可实现管理员账户接管,进而获得服务器webshell权限。