CVE-2025-66224 - OrangeHRM 因 Sendmail 参数注入导致任意文件写入与代码执行漏洞
概述
CVE-2025-66224是一个存在于OrangeHRM(开源人力资源管理系统)中的关键安全漏洞。该漏洞允许攻击者通过参数注入,在服务器上写入任意文件,并可能进一步实现远程代码执行。
漏洞描述
OrangeHRM是一个综合性的人力资源管理(HRM)系统。从版本5.0到5.7,应用程序在其邮件配置和发送工作流中存在输入净化缺陷,允许用户控制的值直接流入系统的sendmail命令中。由于这些值在并入命令执行路径之前未经净化或约束,在邮件处理过程中可能会无意间调用某些sendmail行为。这使得应用程序能够作为邮件处理例程的一部分在服务器上写入文件,在那些文件最终位于Web可访问位置的部署环境中,可以利用此行为来实现攻击者控制内容的执行。该问题完全源于在邮件发送逻辑中使用未经净化的输入构建操作系统级别的命令字符串。此问题已在版本5.8中得到修复。
发布时间: 2025年11月29日 04:15 最后修改时间: 2025年11月29日 04:15 可远程利用: 是 来源: security-advisories@github.com
受影响产品
以下产品受到CVE-2025-66224漏洞的影响。 即使cvefeed.io知道受影响产品的确切版本,下表也未显示此信息。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Orangehrm | orangehrm |
受影响厂商总数:1 | 产品总数:1
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.0 | CVSS 4.0 | 关键 | security-advisories@github.com |
解决方案
将OrangeHRM更新到5.8或更高版本,以修复通过未净化输入导致的命令注入。
- 将OrangeHRM更新到5.8或更高版本。
- 验证邮件配置和发送工作流。
- 确保对用户控制的输入进行净化。
- 检查操作系统级别的命令构建。
参考链接(公告、解决方案和工具)
此处,您将找到精心挑选的外部链接列表,这些链接提供了与CVE-2025-66224相关的深入信息、实用解决方案和宝贵工具。
CWE - 通用缺陷枚举
CVE识别漏洞的具体实例,而CWE则分类可能导致漏洞的常见缺陷或弱点。CVE-2025-66224与以下CWE相关联:
- CWE-94: 代码生成的不当控制(“代码注入”)
常见攻击模式枚举与分类
常见攻击模式枚举与分类存储攻击模式,这些模式描述了攻击者利用CVE-2025-66224弱点的常用属性和方法。
- CAPEC-35: 利用不可执行文件中的可执行代码
- CAPEC-77: 操作用户控制的变量
- CAPEC-242: 代码注入
漏洞时间线详情
漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特性的最新更改。
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新CVE接收(来源:security-advisories@github.com) | 2025年11月29日 |
| 添加 | CVSS V4.0 | | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 添加 | CWE | | CWE-94 | | 添加 | 参考链接 | | https://github.com/orangehrm/orangehrm/security/advisories/GHSA-2w7w-h5wv-xr55 |
漏洞评分详情
CVSS 4.0 基础CVSS分数:9.0 攻击向量/攻击复杂性/攻击要求/所需权限/用户交互/保密性/完整性/可用性(VS & SS): 网络/低/存在/低/无/高/高/高/高/高/高