平台
php
组件
powercms
修复版本
6.7.1
5.3.1
4.6.1
CVE-2025-46359 描述了PowerCMS 中备份和恢复功能的一个路径遍历漏洞。此漏洞允许产品管理员通过恢复精心制作的备份文件来执行任意代码,从而可能导致系统被完全控制。该漏洞影响PowerCMS 6.x 系列版本,包括6.7及更早版本。已发布补丁版本6.7.1,建议立即升级。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取或修改服务器上的任意文件,包括敏感配置信息、数据库凭据和源代码。更严重的是,攻击者可以通过恢复恶意备份文件来执行任意代码,从而完全控制受影响的PowerCMS实例。这可能导致数据泄露、系统破坏、甚至勒索攻击。由于PowerCMS通常用于内容管理和网站建设,因此此漏洞可能影响大量网站和应用程序。
目前尚未公开发现针对此漏洞的公开利用代码(PoC),但由于其严重性和路径遍历漏洞的常见性,存在被利用的风险。该漏洞已于2025年7月31日公开披露。CISA尚未将其添加到KEV目录,但建议密切关注相关安全动态。建议持续监控PowerCMS实例,以检测任何可疑活动。
Organizations utilizing PowerCMS for content management, particularly those with product administrator accounts that have unrestricted access to the backup and restore functionality, are at risk. Shared hosting environments where multiple users share the same PowerCMS installation are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• php / server:
find /var/www/html/powercms/backups -name '*backup*' -print0 | xargs -0 grep -i '..\/..\/'• generic web:
curl -I http://your-powercms-site.com/backup.php?file=../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.25% (48% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即升级到PowerCMS 6.7.1版本或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:限制备份文件的上传和恢复权限,仅允许授权用户执行这些操作。实施严格的文件访问控制,确保PowerCMS进程无法访问敏感文件。监控PowerCMS日志,查找可疑的备份和恢复活动。使用Web应用程序防火墙(WAF)来检测和阻止恶意备份文件上传请求。如果无法实施上述措施,请考虑禁用备份和恢复功能,直到能够升级到安全版本。
Actualice PowerCMS a la última versión disponible proporcionada por el proveedor, Alfasado Inc. Consulte las notas de la versión 6.71, 5.31 o 4.61 para obtener detalles específicos sobre la corrección de este problema de path traversal. Asegúrese de realizar una copia de seguridad de su sistema antes de aplicar la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-46359描述了PowerCMS 6.x系列版本中备份和恢复功能的一个路径遍历漏洞,攻击者可以利用此漏洞执行任意代码。
如果您正在使用PowerCMS 6.7及更早版本,则可能受到此漏洞的影响。请立即升级到6.7.1版本。
最有效的修复方法是升级到PowerCMS 6.7.1版本或更高版本。如果无法升级,请实施临时缓解措施,如限制备份文件权限。
目前尚未公开发现针对此漏洞的公开利用代码,但存在被利用的风险。建议密切关注相关安全动态。
请访问PowerCMS官方网站或安全公告页面,查找有关CVE-2025-46359的官方公告。