MUYUCMS PHP代码注入CVE-2025-10993

MuYuCMS基于Thinkphp的轻量级开源内容管理系统，支持内容自定义付费项，以网站数据恢复与备份，可单独备份数据库和上传文件夹。

一、基本情况

MUYUCMS 在于为企业用户及个人站长提供高效、便捷的快速建站解决方案，系统在架构设计上强调轻量化特性，确保运行流畅与高效。

MuYuCMS后端基于Thinkphp、前端基于Layui，一套轻量级开源内容管理系统，专注为公司企业、个人站长提供快速建站提供解决方案。

栋科技漏洞库关注到MuYuCMS 2.7版本中存在的远程命令执行漏洞，该漏洞现在已被追踪为CVE-2025-10993，漏洞CVSS 3.X评分为4.7。

二、漏洞分析

CVE-2025-10993漏洞是一个存在于MuYuCMS 2.7版本的安全漏洞，这是一个PHP代码注入漏洞，可能导致代码注入，可以远程发起攻击。

具体来说，该漏洞是一个PHP代码注入漏洞，影响组件模板管理中的/admin.php文件的某些未知功能。

三、POC概念验证

1、点击模板管理中的模板列表，然后点击在线编辑

2、进入后，您可以直接在模板下创建一个PHP文件，这里已经写好了PHP信息文件

3、发现其可被访问并执行

四、影响范围

MuYuCMS 2.7

五、修复建议

MuYuCMS > 2.7

六、参考链接

管理员已设置登录后刷新可查看