关键信息总结 漏洞名称 Arbitrary File Read Vulnerability in PerfreeBlog System (CVE-2025-60729) 官方网站与下载链接 官方网站: https://perfree.org/ 下载链接: https://github.com/PerfreeBlog/PerfreeBlog 漏洞描述 描述: PerfreeBlog系统存在任意文件读取漏洞,允许读取服务器上的任何文件。 影响版本 受影响版本: 4.0.11 漏洞原理 相关代码细节: - 在获取主题文件内容的接口中调用 函数。 - 函数未对路径合法性进行验证,导致路径穿越漏洞。 - 攻击者可利用 绕过限制,读取任意文件。 漏洞复现 步骤: 1. 使用已注册普通用户的操作权限,相当于未授权操作。 2. 访问特定接口以触发漏洞,例如: 3. 修改 参数值以实现任意文件读取。 数据包示例 请求示例: 漏洞位置 易受攻击的接口位于菜单“主题管理”中。 ``` 这些信息提供了关于漏洞的关键细节,包括其名称、影响范围、技术细节以及如何复现和利用该漏洞。