中国网络渗透测试联盟

标题: 方维社会化分享系统一句话漏洞 [打印本页]
作者: admin    时间: 2012-11-12 10:43
标题: 方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
3 o3 @' \: P% L5 p- ?" t9 ?. Q
) x" n& X$ @$ u9 ?! E8 K  y个人简介过滤不严格,导致一句话任意执行代码。
$ x* L. B% L1 c  k, t3 ?( h( p# V
! v  g* |* r# p) H! x- `  O# |" Y详细说明:
' j, n9 B0 w& @# M2 j7 a1 w+ {9 ]6 l个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
( E( W, L6 U# K7 \9 M
1 H$ J8 B. T$ D
4 b+ r+ Z' |2 y7 m1 r4 y) `漏洞证明:
% B& P* e0 Q8 ^- S5 [
( l# D  a; s. e5 e& v- y2 z( Y$ \8 u( i7 d
修复方案:
9 o. i4 o" y# d6 X$ {5 O. u& T过滤个人简介。
% z8 V6 i9 P& h2 [$ V, x2 D9 V3 x+ S检查其他地方同类漏洞!



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2