zhangyanbo2007 youkefu TemplateController.java impsave deserialization 漏洞信息(CVE-2025-4260)

一、漏洞 CVE-2025-4260 基础信息

漏洞信息

                                        # zhangyanbo2007 youkefu TemplateController.java impsave 反序列化漏洞

# 漏洞描述

## 概述
在zhangyanbo2007 youkefu的版本4.2.0及其之前版本中，发现了一个被分类为问题的漏洞。该漏洞影响了文件`m\web\handler\admin\system\TemplateController.java`中的函数`impsave`。

## 影响版本
- zhangyanbo2007 youkefu版本4.2.0及其之前版本

## 细节
此漏洞允许攻击者通过操作参数`dataFile`导致反序列化。该攻击可以从远程发起执行。

## 影响
已公开的漏洞利用代码可能被滥用，增加了系统遭受攻击的风险。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

zhangyanbo2007 youkefu TemplateController.java impsave deserialization

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was found in zhangyanbo2007 youkefu up to 4.2.0 and classified as problematic. Affected by this issue is the function impsave of the file m\web\handler\admin\system\TemplateController.java. The manipulation of the argument dataFile leads to deserialization. The attack may be launched remotely. The exploit has been disclosed to the public and may be used.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

可信数据的反序列化

来源：美国国家漏洞数据库 NVD

漏洞标题

youkefu 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

youkefu是zhangyanbo2007个人开发者的一个客服支持应用程序。 youkefu 4.2.0及之前版本存在代码问题漏洞，该漏洞源于文件mwebhandleradminsystemTemplateController.java中参数dataFile处理不当，可能导致反序列化攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-4260 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-4260 的情报信息

标题： vulnerability/vul.md at main · Serein123y/vulnerability · GitHub -- 🔗来源链接

标签： exploit
神龙速读
标题： Login required -- 🔗来源链接

标签： signature permissions-required
神龙速读
标题： CVE-2025-4260 zhangyanbo2007 youkefu TemplateController.java impsave deserialization -- 🔗来源链接

标签： vdb-entry technical-description
神龙速读
标题： Submit #562902: youkefu https://github.com/zhangyanbo2007/youkefu 1.0 反序列化 -- 🔗来源链接

标签： third-party-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-4260