中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
& D! y1 A0 J7 c: V4 M ?* o8 l
% f- M" @5 x* i# F; ]
个人简介过滤不严格,导致一句话任意执行代码。
1 Q% L: ?8 P, U/ s9 K( @9 J/ G" M
8 [' B3 H2 s9 n" q9 L% o$ n
详细说明:
`7 Y7 x c8 }+ c0 s
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
, L4 S. G/ E A3 W! E
+ W; q3 d9 K. r$ U4 H3 u
1 M- T2 D7 g% J* R# L5 F+ c0 @7 O
漏洞证明:
l, M- r" S# g. ]5 @* |
4 @, S, l2 n6 {0 x1 g1 @+ \4 K# B
e; X8 R9 _5 a: v
修复方案:
9 i: c+ [0 n" y8 K
过滤个人简介。
: C+ e* e* M( M- T# _; K1 U
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2