关键信息 漏洞概述 CVE编号: CVE-2025-57055 漏洞类型: 认证远程代码执行 (RCE) 受影响软件: WonderCMS v3.5.0 漏洞机制 问题来源: 应用程序通过JSON描述符处理远程主题/模块安装时,如果JSON文件引用ZIP存档,其内容将被提取到一个Web可访问目录(例如, )。如果ZIP包含PHP文件,该文件将在Web上变得可访问并可能被执行。 风险因素: - 缺乏对ZIP内容的验证或清理。 - 对从远程源提取的文件类型没有限制。 - 主题/插件目录的Web可访问性。 远程模块/主题描述符的接受标准 WonderCMS将接受并尝试安装远程模块/主题,如果提交的JSON描述符符合预期的 格式。通过格式检查的描述符(指向ZIP存档)将被获取,其存档内容将被提取到Web可访问目录(例如, ),而无需进一步验证文件类型。 概念验证 (PoC) 警告: 不要在生产系统上运行。仅在授权测试环境中使用。 步骤: 1. 从默认WonderCMS安装的公开暴露主页获取管理员密码。 2. 登录到管理面板。 3. 导航到主题安装部分。 4. 提供指向恶意JSON描述符的URL(例如,托管在攻击者控制的服务器上)。 5. 初始化安装。服务器将: - 获取描述符。 - 下载指定的ZIP存档。 6. 安装下载的恶意主题。 7. 访问提取的PHP shell(例如, )以执行任意命令。 厂商回应 漏洞于2025年7月报告给WonderCMS维护者。 维护者确认了报告,但认为这种行为对于管理员来说是可以接受的。 缓解指导 限制远程安装功能仅限于可信来源(例如,仅GitHub)。 在提取之前验证和清理ZIP内容。 强化身份验证: - 隐藏安装后的管理员密码。 - 强制用户名/密码登录。 - 启用多因素认证(如果可用)。 通过服务器配置防止访问 或 中的可执行文件。