DotAdrien/CVE-2025-60655
GitHub: DotAdrien/CVE-2025-60655
演示 CVE-2025-60655 漏洞利用链(绕过前端文件校验 + SQL 注入 → RCE)的概念验证与安全研究案例。
Stars: 0 | Forks: 0
# CVE-2025-60655 - 通过 unrestricted upload 实现远程代码执行 (RCE)
| | |
| --------------- | --------------- |
| 研究人员 | DotAdrien |
| 严重程度 | 9.8 (严重) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) |
| 软件 | Script Pag |
## 描述
图像上传系统中的一个严重漏洞允许远程代码执行 (RCE)。该应用程序仅依赖客户端 JavaScript 来验证文件类型。通过绕过这些 JS 检查,攻击者可以上传恶意的 PHP 脚本。结合 SQL 注入检索文件路径,攻击者可以在服务器上执行任意代码。
标签:0day漏洞, CISA项目, CVE-2025-60655, CVSS 9.8, PHP文件上传, RCE, Script Pag, Web安全, 任意代码执行, 多线程, 数据可视化, 文件上传漏洞, 服务端漏洞, 未限制上传, 绕过前端验证, 编程工具, 网络信息收集, 自定义脚本, 蓝队分析, 远程代码执行, 高危漏洞