中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
( l+ X* f- Z% o2 Y
7 T% z0 b% p& |9 b6 `% t2 n" O( z
个人简介过滤不严格,导致一句话任意执行代码。
" e8 ]2 F, D# o% D
( i5 L9 K$ m5 Y) c7 W) i. R b
详细说明:
7 M, T+ t4 {: u; a& ~ v. x
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
+ r+ N, f: ^: B; a
/ U9 p( M: m& x
' B( Y9 s7 @$ i- {7 i
漏洞证明:
& |* i2 E' ~$ J* \- X7 H
; j' S- [' w9 \6 @
; T) G! C& Q, A! h9 h, s6 K. y
修复方案:
n, I B- P/ V( ~0 z$ b2 e
过滤个人简介。
, A0 J& ~) z( t$ L; B
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2