中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
/ }. X2 w( ^" }' e/ h; p, C
) q$ L( m/ V9 A' e" F
个人简介过滤不严格,导致一句话任意执行代码。
+ M: `: y2 x" V8 d9 L
5 m5 @! U( a0 z4 {; I6 K5 A
详细说明:
8 b" \. q3 B4 [3 Z) P3 u: A# N
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
! M5 \! l% [9 r
: N8 I1 _3 W: X
7 @3 A7 D7 ]3 _
漏洞证明:
7 R* ?& t2 P/ Z
3 [7 m, ^! ^! }( w, B N# g
2 A( U+ G) G" j
修复方案:
( C/ j6 S+ h( v$ H5 S# B: f
过滤个人简介。
2 W. c% d3 P) V! w( E
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2