发布日期：2025-08-06
更新日期：2025-12-22

受影响系统：

MCCMS MCCMS 2.7.0

描述：

---

CVE(CAN) ID: CVE-2025-50234

MCCMS（漫城CMS）是中国烟雨江南（chshcms）个人开发者的一个快速建站系统。
MCCMS 2.7.0版本的sys\apps\controllers\api\Gf.php文件index()方法存在服务器端请求伪造漏洞，该漏洞源于解密后的URL被传递给geturl()方法，该方法使用cURL向URL发出请求而无需进行适当的安全检查，攻击者可利用该漏洞构建指向内部地址或本地文件路径的加密pic参数，从而访问本地文件系统上的任意文件并读取日志文件等敏感配置文件，造成敏感信息泄漏。

<**>

建议：

---

厂商补丁：

MCCMS
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/xiaoyangsec/mccms/blob/main/MCCMS-SSRF.md

浏览次数：121
严重程度：0（网友投票）