CVE-2025-15226 - Sunnet WMPro 任意文件上传漏洞

概述

WMPro 由 Sunnet 开发，存在一个 任意文件上传 漏洞，允许未经身份验证的远程攻击者上传并执行 Web shell 后门，从而能够在服务器上执行任意代码。

以下产品受 CVE-2025-15226 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本，下表中也未显示该信息。

ID	供应商	产品	操作
1	Sun.net	wmpro

总计受影响供应商：1 | 产品：1

通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 评分。

评分	版本	严重性	可利用性评分	影响评分	来源
9.8	CVSS 3.1	严重			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
9.8	CVSS 3.1	严重	3.9	5.9	twcert@cert.org.tw
9.3	CVSS 4.0	严重			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
9.3	CVSS 4.0	严重			twcert@cert.org.tw

修补该漏洞以防止未经身份验证的远程任意文件上传和代码执行。

URL	资源
https://www.twcert.org.tw/en/cp-139-10603-67149-2.html
https://www.twcert.org.tw/tw/cp-132-10602-c1c69-1.html

CVE 标识特定的漏洞实例，而 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-15226 与以下 CWE 关联：

CWE-434: 上传危险类型文件时无限制

常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式，这些模式描述了对手利用 CVE-2025-15226 弱点所采用的常见属性和方法。

CAPEC-1: 访问未受ACL正确约束的功能

漏洞历史记录详情有助于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新 CVE 由 twcert@cert.org.tw 接收 - 2025年12月29日

操作	类型	新值
添加	描述	WMPro developed by Sunnet has a Arbitrary File Upload vulnerability, allowing unauthenticated remote attackers to upload and execute web shell backdoors, thereby enabling arbitrary code execution on the server.
添加	CVSS V4.0	AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
添加	CVSS V3.1	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
添加	CWE	CWE-434
添加	参考	https://www.twcert.org.tw/en/cp-139-10603-67149-2.html
添加	参考	https://www.twcert.org.tw/tw/cp-132-10602-c1c69-1.html

CVSS 4.0

CVSS 3.1