一、 漏洞 CVE-2025-11939 基础信息
漏洞信息
                                        # ChurchCRM Backup Restore 中的路径遍历漏洞

### 概述

ChurchCRM 在版本 5.18.0 及之前存在一个漏洞,位于组件 **Backup Restore Handler** 中的 `src/ChurchCRM/Backup/RestoreJob.php` 文件。该漏洞允许通过参数 `restoreFile` 的操作实现路径穿越。

### 影响版本

- ChurchCRM ≤ 5.18.0

### 细节

- 漏洞文件:`src/ChurchCRM/Backup/RestoreJob.php`
- 漏洞类型:路径穿越(Path Traversal)
- 受影响参数:`restoreFile`
- 攻击方式:远程利用
- 漏洞已公开披露,并存在已被使用的可能性。

### 影响

攻击者可能通过远程方式利用此漏洞,进行路径穿越操作,从而访问或读取系统中非授权的文件,可能导致敏感信息泄露或进一步的攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ChurchCRM Backup Restore RestoreJob.php path traversal
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in ChurchCRM up to 5.18.0. This issue affects some unknown processing of the file src/ChurchCRM/Backup/RestoreJob.php of the component Backup Restore Handler. Executing manipulation of the argument restoreFile can lead to path traversal. The attack may be launched remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
ChurchCRM 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ChurchCRM是ChurchCRM开源的一个为教会打造的开源 CRM 系统。 ChurchCRM 5.18.0及之前版本存在路径遍历漏洞,该漏洞源于对文件src/ChurchCRM/Backup/RestoreJob.php中参数restoreFile的错误操作,可能导致路径遍历攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11939 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11939 的情报信息
四、漏洞 CVE-2025-11939 的评论

暂无评论

发表评论