OurPHP后台存在任意文件上传漏洞(CNVD-2016-06042)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2016-06-30漏洞描述
OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。 OurPHP(傲派建站系统)的管理后台“全局/界面”模块下的上传文件管理模块具有隐藏的文件上传功能,由于未对上传文件扩展名进行安全检查,攻击者可以在登录管理后台后上传任意扩展名文件,该模块还具有上传压缩文件自动解压功能,在解压前后同样未检查解压缩出来的文件扩展名,还可以将要上传的文件打包到压缩文件后再上传,一定程度上可以绕过安全系统的监测。解决建议
1.限制允许上传文件的扩展名,限制压缩文件中文件的扩展名;2.避免将服务器端的物理路径传给客户端。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2016-06042 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论