关键信息 漏洞概述 CVE编号: CVE-2025-60500 漏洞类型: 不安全的文件上传 / 逻辑缺陷 受影响产品: QDocs Smart School (School Management System 7.1) 发布日期: 2025-10-17 发现者: Lebas Vivien 影响 远程代码执行 (RCE): 攻击者可通过上传 PHP 文件并在 Web 可访问目录中执行。 授权用户: 具有特定角色(如会计、管理员或超级管理员)的用户可绕过文件类型限制。 攻击后果: 执行系统命令或进一步渗透环境。 影响组件 文件上传功能: 下载中心 > 上传共享内容 攻击类型/向量 攻击类型: 远程(需要具有特定角色的授权账户) 攻击向量: 利用 YouTube URL 选项上传文件,服务器存储为 扩展名。 概念验证 (PoC) 登录并导航至下载中心 > 上传共享内容。 使用代理拦截 HTTP 请求并上传 文件。 触发代码执行通过访问存储的 文件。 缓解措施 修复逻辑错误: 确保所有上传路径与正常上传流程相同的文件类型验证和过滤。 阻塞上传内容: 存储在 Web 根目录外或使用安全处理器。 强制 MIME 类型检查: 验证文件类型和扩展名。 重命名存储文件: 避免保留原始扩展名。 设置正确权限: 禁止上传文件的执行权限。 日志记录和监控: 监控可疑上传和访问。 角色限制: 限制特权角色的上传权限。 工作区建议 暂时禁用问题功能。 限制上传访问。 配置 Web 服务器禁止执行 目录中的 文件。