Joomla CMS CVE-2025-22213 漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2025-22213
影响版本<\/strong>: Joomla! CMS 4.0.0-4.4.11, 5.0.0-5.2.4
漏洞类型<\/strong>: 文件扩展名任意修改漏洞
漏洞描述<\/strong>: 媒体管理器中的检查不充分允许具有"编辑"权限的用户将文件扩展名更改为任意扩展名，包括.php和其他可能可执行的扩展名。<\/p>

环境搭建<\/h2>
使用Docker一键启动受影响版本的Joomla CMS环境：<\/p>
docker run -d -p 8080:80 joomla:5.2.4 <\/code><\/pre> 漏洞分析<\/h2> 代码差异分析<\/h3> 通过对比Joomla 5.2.4和5.2.5版本的代码差异，发现主要修复点在文件扩展名检查上：<\/p> 在5.2.5版本中新增了FileExtension<\/code>的严格检查<\/li> 漏洞存在于copyfile<\/code>函数中，该函数被copy<\/code>函数调用<\/li> ApiModel<\/code>中调用了copy<\/code>函数，这是漏洞触发的关键路径<\/li> <\/ol> 漏洞触发流程<\/h3> 攻击者需要具有"编辑"权限的后台账号<\/li> 上传恶意内容文件（需伪装成图片格式，如test.png）<\/li> 通过媒体管理器的重命名功能修改文件扩展名<\/li> <\/ol> 漏洞利用步骤<\/h2> 准备工作<\/h3> 获取具有"编辑"权限的Joomla后台账号<\/li> 准备恶意PHP代码文件，但使用图片扩展名（如test.png）<\/li> <\/ol> 利用过程<\/h3> 上传恶意文件<\/strong>:<\/p> 登录后台<\/li> 进入媒体管理器<\/li> 上传test.png（实际内容为PHP代码）<\/li> <\/ul> <\/li> 触发重命名漏洞<\/strong>:<\/p> 点击test.png图片<\/li> 选择"Rename"功能<\/li> 拦截重命名请求<\/li> <\/ul> <\/li> 修改请求参数<\/strong>:<\/p> 原始请求会将.png改为.php但会被拦截<\/li> 需要添加move=0<\/code>参数绕过检查<\/li> 示例请求修改: POST \/administrator\/index.php?option=com_media&task=api.files HTTP\/1.1 Content-Type: application\/json { "action": "copy", "move": 0, "path": "test.png", "newPath": "test.php" } <\/code><\/pre> <\/li> <\/ul> <\/li> 验证利用<\/strong>:<\/p> 虽然可能返回错误信息，但文件已成功重命名<\/li> 访问\/images\/test.php<\/code>验证是否执行<\/li> <\/ul> <\/li> <\/ol> 修复建议<\/h2> 升级到Joomla 5.2.5或更高版本<\/li> 临时解决方案: 限制媒体管理器权限<\/li> 添加文件扩展名白名单检查<\/li> 监控\/images目录下的.php文件创建<\/li> <\/ul> <\/li> <\/ol> 技术要点总结<\/h2> 漏洞根源在于copyfile<\/code>函数缺乏严格的扩展名检查<\/li> 通过move=0<\/code>参数可以绕过默认的检查机制<\/li> 需要图片格式伪装绕过初始上传检查<\/li> 利用媒体管理器的API接口(api.files<\/code>)实现扩展名修改<\/li> <\/ol> 参考<\/h2> Joomla官方GitHub代码库<\/li> CVE-2025-22213漏洞公告<\/li> 先知社区漏洞分析文章<\/li> <\/ul>