Dx3iZ/CVE-2025-54236
GitHub: Dx3iZ/CVE-2025-54236
用于验证 Adobe Magento SessionReaper(CVE-2025-54236)LFI 漏洞的 Python PoC 工具,自动化完成文件上传利用与结果验证。
Stars: 0 | Forks: 0
# Adobe Magento SessionReaper LFI PoC
一个简单的 Python 概念验证,用于演示影响存在漏洞的 **Adobe Magento** 版本的 **CVE-2025-54236 (SessionReaper)** 漏洞。
## 功能
- 自动规范化目标 URL
- 随机 `form_key` 生成
- 文件上传请求自动化
- 上传文件验证
- 将成功的上传保存到 `success.txt`
- 将误报保存到 `falsepositive.txt`
- 支持连接超时和重试
## 受影响版本
- Magento 2.4.9-alpha2
- Magento 2.4.8-p2
- Magento 2.4.7-p7
- Magento 2.4.6-p12
- Magento 2.4.5-p14
- Magento 2.4.4-p15
- 更早的易受攻击版本
## 环境要求
- Python 3.x
安装依赖:
```
pip install requests urllib3
```
## 用法
```
python ankamagento.py https://target.com payload.txt
```
示例:
```
python ankamagento.py https://example.com dxeiz.txt
```
## 输出
- `success.txt` → 成功验证的上传
- `falsepositive.txt` → 无法验证的上传
## 免责声明
本项目**仅供教育目的和授权的安全评估使用**。作者对滥用或未经授权使用本软件不承担任何责任。标签:CISA项目, LFI, Magento, Python, 安全, 无后门, 超时处理, 逆向工具