OurPHP后台存在任意文件上传漏洞(CNVD-2016-06042)

admin 2023-12-25 12:36:29 Ali_nonvd 来源:ZONE.CI 全球网 0 阅读模式
OurPHP后台存在任意文件上传漏洞(CNVD-2016-06042)

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2016-06-30
漏洞描述
OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。 OurPHP(傲派建站系统)的管理后台“全局/界面”模块下的上传文件管理模块具有隐藏的文件上传功能,由于未对上传文件扩展名进行安全检查,攻击者可以在登录管理后台后上传任意扩展名文件,该模块还具有上传压缩文件自动解压功能,在解压前后同样未检查解压缩出来的文件扩展名,还可以将要上传的文件打包到压缩文件后再上传,一定程度上可以绕过安全系统的监测。
解决建议
1.限制允许上传文件的扩展名,限制压缩文件中文件的扩展名;2.避免将服务器端的物理路径传给客户端。
参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2016-06042
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0