一、 漏洞 CVE-2025-34097 基础信息
漏洞信息
                                        # ProcessMaker < 3.5.4 认证插件上传 RCE

## 漏洞概述
ProcessMaker版本3.5.4之前的版本中存在不受限制的文件上传漏洞,由于上传的插件存档处理不当,导致攻击者可以上传包含任意PHP代码的恶意`.tar`插件文件。在安装过程中,插件的`install()`方法会被调用,从而在服务器上以Web服务器用户的权限执行攻击者提供的PHP代码。

## 影响版本
- 版本:3.5.4之前的所有版本

## 漏洞细节
攻击者通过使用管理权限上传包含任意PHP代码的恶意`.tar`插件文件。安装插件时,该插件的`install()`方法会被调用,导致服务器执行插件中嵌入的PHP代码,且使用Web服务器用户的权限。此外,该漏洞可与CVE-2022-38577(用户配置文件页面中的权限升级漏洞)结合,从低权限账户实现远程代码执行。

## 影响
- 允许具有管理权限的攻击者上传并执行任意PHP代码,以控制服务器。
- 通过与CVE-2022-38577结合,实现从低权限账户远程代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ProcessMaker < 3.5.4 Authenticated Plugin Upload RCE
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An unrestricted file upload vulnerability exists in ProcessMaker versions prior to 3.5.4 due to improper handling of uploaded plugin archives. An attacker with administrative privileges can upload a malicious .tar plugin file containing arbitrary PHP code. Upon installation, the plugin’s install() method is invoked, resulting in execution of attacker-supplied PHP code on the server with the privileges of the web server user. This vulnerability can be chained with CVE-2022-38577 — a privilege escalation flaw in the user profile page — to achieve full remote code execution from a low-privileged account.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
ProcessMaker 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ProcessMaker是美国ProcessMaker公司的一个Php编写的用于商业进程管理(BPM)和工作流管理的建站系统。 ProcessMaker 3.5.4之前版本存在安全漏洞,该漏洞源于插件上传处理不当,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34097 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-34097 的情报信息