中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
( ]3 l' p5 Z, \+ }5 s# y Z% I$ c9 Y
8 S# q* x* z# D4 N
个人简介过滤不严格,导致一句话任意执行代码。
/ e( b( @5 e# `) l& A# Z
$ T. ~' M" y: ?$ o
详细说明:
! c6 D. ? e+ n+ S7 m6 \
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
2 ]% G* M8 @( o3 e# w4 q
; d9 k" S# k" H( o
" \ W7 s2 G" h9 d9 i
漏洞证明:
. ~: T- U3 ]3 J% \# L* S& h
) v% {! Y5 d' q. x- ^
& Z; r' S' ?3 Y
修复方案:
6 R# [* ] j% M" V" i
过滤个人简介。
: n$ V* }: a$ o/ V- {
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2