关键信息 漏洞概述 漏洞类型: PHP Object Injection (CWE-502: Deserialization of Untrusted Data) 受影响版本: Vfront 0.99.52 组件: mexcel.php 文件 CVE ID: CVE-2025-60641 发布日期: 2025年10月11日 漏洞详情 问题描述: 在 文件中,未验证的用户输入通过 参数传递,并在解码后直接传递给 函数。 代码示例: 影响: 攻击者可以通过构造的 base64 编码序列化字符串注入任意 PHP 对象,导致远程代码执行、SQL 注入、路径遍历或拒绝服务等。 缓解措施 移除或限制访问: 删除 文件或通过服务器配置限制访问。 输入验证: 修改 文件以清理 或在 中使用 选项。 披露时间线 发现日期: 2025年8月15日 CVE 分配: 2025年10月10日 公告发布: 2025年10月11日 参考链接 Vfront 官方网站: http://vfront.com CWE 记录: CWE-502 (https://cwe.mitre.org/data/definitions/502.html)