CVE-2025-15228 - WELLTEND TECHNOLOGY｜ BPMFlowWebkit - 任意文件上传漏洞

概述

CVE-2025-15228是一个存在于WELLTEND TECHNOLOGY公司开发的BPMFlowWebkit中的严重安全漏洞。

BPMFlowWebkit存在一个任意文件上传漏洞，允许未经身份验证的远程攻击者上传并执行Webshell后门，从而实现在服务器上执行任意代码。

信息

以下产品受到CVE-2025-15228漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本，下表也未包含相关信息。

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重性的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS评分。

评分	版本	严重性	可利用性评分	影响评分	来源
9.8	CVSS 3.1	严重			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
9.8	CVSS 3.1	严重	3.9	5.9	twcert@cert.org.tw
9.8	CVSS 3.1	严重	3.9	5.9	MITRE-CVE
9.3	CVSS 4.0	严重			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
9.3	CVSS 4.0	严重			twcert@cert.org.tw

通过实施更严格的文件类型和大小验证来修复任意文件上传漏洞。

这里提供了一系列与CVE-2025-15228相关的深度信息、实用解决方案和有价值工具的外部链接。

URL	资源
https://www.twcert.org.tw/en/cp-139-10605-426b6-2.html
https://www.twcert.org.tw/tw/cp-132-10604-c65aa-1.html

虽然CVE标识特定的漏洞实例，但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-15228与以下CWE相关：

CWE-434: 对具有危险类型的文件进行无限制上传

常见攻击模式枚举与分类存储了攻击者利用CVE-2025-15228弱点所采用的常见属性和方法的描述。

CAPEC-1: 访问未正确受ACL限制的功能

漏洞历史详情有助于了解漏洞的演变过程，并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。

新CVE接收 由 twcert@cert.org.tw 接收于 2025年12月29日

操作	类型	新值
已添加	描述	BPMFlowWebkit developed by WELLTEND TECHNOLOGY has a Arbitrary File Upload vulnerability, allowing unauthenticated remote attackers to upload and execute web shell backdoors, thereby enabling arbitrary code execution on the server.
已添加	CVSS V4.0	AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
已添加	CVSS V3.1	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
已添加	CWE	CWE-434
已添加	参考链接	https://www.twcert.org.tw/en/cp-139-10605-426b6-2.html
已添加	参考链接	https://www.twcert.org.tw/tw/cp-132-10604-c65aa-1.html

CVSS 4.0

CVSS 3.1