https://blog.qife122.com/tags/cve-2025-29306/ Recent content in CVE-2025-29306 on 办公AI智能小助手 Hugo zh-cn qife Thu, 18 Sep 2025 03:59:27 +0800 https://blog.qife122.com/p/foxcms-v1.2.5-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B3%A8%E5%85%A5%E5%AF%BC%E8%87%B4%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Thu, 18 Sep 2025 03:59:27 +0800 https://blog.qife122.com/p/foxcms-v1.2.5-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B3%A8%E5%85%A5%E5%AF%BC%E8%87%B4%E6%9C%AA%E6%8E%88%E6%9D%83%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-29306--foxcms-v125-通过反序列化注入实现未授权远程代码执行">CVE-2025-29306 – FoxCMS v1.2.5 通过反序列化注入实现未授权远程代码执行</h1> <h2 id="概述">概述</h2> <p>CVE-2025-29306 是一个影响 FoxCMS 版本 1.2.5 的严重远程代码执行（RCE）漏洞。该漏洞源于对 id 参数的不安全处理，该参数未经验证直接传递给 PHP 的 unserialize() 函数。攻击者可以提供恶意的序列化 PHP 对象，通过 system() 触发任意命令执行。</p>