关键信息 漏洞 ID: CVE-2025-12399 受影响的软件: Alex Reservations: Smart Restaurant Booking <= 2.2.3 漏洞类型: Authenticated (Admin+) Arbitrary File Upload TL;DR Exploits 利用方式: 提供了CVE-2025-12399.py的POC来演示远程攻击者上传shell.php并执行远程代码的方法。 Technical Description 根本原因: 漏洞存在于UploadFileController.php文件的/wp-json/srr/v1/app/upload/file端点。上传功能缺乏适当的文件验证,仅使用正则表达式进行基本的文件名清洗。 Attack Path Analysis 源代码: 用户输入来自 。 漏洞在代码中的位置: - 在第38行。 Vulnerable Code Location 受影响的代码片段: 漏洞总结 认证的WordPress管理员可以利用此漏洞上传恶意PHP文件到服务器,可能导致远程代码执行。