m2sousa/CVE-2025-69212
GitHub: m2sousa/CVE-2025-69212
针对 OpenSTAManager ≤2.9.8 已认证远程代码执行漏洞(CVE-2025-69212)的概念验证工具。
Stars: 0 | Forks: 0
# CVE-2025-69212
## 描述
OpenSTAManager 是一款用于技术支持、电子发票和会计管理的软件解决方案。版本 `<=2.9.8` 存在一个经过认证的远程代码执行漏洞。攻击者可以通过上传一个特制的 `.zip` 压缩包来利用此问题,该压缩包包含一个 `.p7m` 文件,其文件名会被解析为 shell 命令,从而导致在远程服务器上执行任意命令。
## 用法
### 环境要求
```
$ pip install requests
```
### 漏洞验证程序(PoC)用法
```
$ python3 exploit.py [-h] --user USER --password PASSWORD [--target TARGET] [--cmd CMD]
```
示例:
```
$ python3 exploit.py --user="admin" --password="admin" --target="http://example.com/" --cmd="id"
```
### 选项
```
-h, --help show this help message and exit
--user USER username for auth.
--password PASSWORD password for auth.
--target TARGET target domain endpoint
--cmd CMD command to execute on the server
```
## 参考
- [nvd.nist.gov/vuln/detail/CVE-2025-69212](nvd.nist.gov/vuln/detail/CVE-2025-69212)
- [github.com/devcode-it/openstamanager/security/advisories/GHSA-25fp-8w8p-mx36](github.com/devcode-it/openstamanager/security/advisories/GHSA-25fp-8w8p-mx36)
标签:CISA项目, PoC, Python, RCE利用, 安全漏洞, 无后门, 暴力破解, 逆向工具