一、 漏洞 CVE-2025-29306 基础信息
漏洞信息
# N/A
## 漏洞描述
### 概述
FoxCMS 的版本 1.2.5 存在一个漏洞,允许远程攻击者通过在 `index.html` 组件的展示页面上操作来执行任意代码。
### 影响版本
- FoxCMS v1.2.5
### 细节
- 攻击向量:利用 `index.html` 组件中的 case 展示页面。
- 漏洞类型:远程代码执行 (RCE)。
### 影响
此漏洞使攻击者能够远程执行任意代码,从而可能控制受影响的系统。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞允许远程攻击者通过FoxCMS v.1.2.5的index.html组件中的case display页面执行任意代码,这表明存在服务端的代码执行漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue in FoxCMS v.1.2.5 allows a remote attacker to execute arbitrary code via the case display page in the index.html component.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
FoxCMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
FoxCMS是中国黔狐(FoxCMS)公司的一套可免费商用开源的内容管理系统。 FoxCMS 1.2.5版本存在安全漏洞,该漏洞源于index.html组件允许执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-29306 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/somatrasss/CVE-2025-29306 | POC详情 |
| 2 | An issue in FoxCMS v.1.2.5 allows a remote attacker to execute arbitrary code via the case display page in the index.html component. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-29306.yaml | POC详情 |
| 3 | None | https://github.com/verylazytech/CVE-2025-29306 | POC详情 |
| 4 | None | https://github.com/inok009/FOXCMS-CVE-2025-29306-POC | POC详情 |
| 5 | Proof-of-Concept (PoC) for CVE-2025-29306, a Remote Code Execution vulnerability in FoxCMS. This Python script scans single or multiple targets, executes commands, and reports vulnerable hosts. | https://github.com/Mattb709/CVE-2025-29306-PoC-FoxCMS-RCE | POC详情 |
| 6 | None | https://github.com/congdong007/CVE-2025-29306_poc | POC详情 |
| 7 | This tiny lab simulates the core idea behind CVE-2025-29306: unsafe use of `unserialize()` on attacker-controlled input leading to remote code execution. | https://github.com/amalpvatayam67/day06-foxcms-rce | POC详情 |
| 8 | CVE-2025-29306 | https://github.com/B1ack4sh/Blackash-CVE-2025-29306 | POC详情 |
| 9 | CVE-2025-29306 | https://github.com/Ashwesker/Blackash-CVE-2025-29306 | POC详情 |
| 10 | CVE-2025-29306 | https://github.com/Ashwesker/Ashwesker-CVE-2025-29306 | POC详情 |
| 11 | Mass Exploit for CVE-2025-29306 | https://github.com/mantanhacker/Mass-CVE-2025-29306 | POC详情 |
三、漏洞 CVE-2025-29306 的情报信息
标题: GitHub - somatrasss/CVE-2025-29306 -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **漏洞编号**: CVE-2025-29306 - **漏洞类型**: 服务参数注入漏洞 - **受影响系统**: FoxCMS 黔狐内容管理系统 V1.2 - **漏洞描述**: FoxCMS 黔狐内容管理系统存在服务参数注入漏洞,攻击者可利用该漏洞获取服务器控制权。 - **POC (概念验证)**: - URL: `http://xx/images/index.html?id=%24(%40print(phpinfo()))` - 访问该URL后,可以发现`phpinfo`命令执行后的信息。 ### 漏洞影响 - 攻击者可以通过该漏洞获取服务器的控制权。 ### 复现过程 - 使用提供的POC访问漏洞页面,观察`phpinfo`命令执行后的信息。
- https://nvd.nist.gov/vuln/detail/CVE-2025-29306
四、漏洞 CVE-2025-29306 的评论
暂无评论