中国网络渗透测试联盟
标题:
方维社会化分享系统一句话漏洞
[打印本页]
作者:
admin
时间:
2012-11-12 10:43
标题:
方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:
* ^/ W& J7 N/ r8 } C; ^
7 o Q) `9 t' T! e3 M" B
个人简介过滤不严格,导致一句话任意执行代码。
5 a) e4 d8 k& Z6 J3 Q9 B
( Q' b9 W$ x: l+ m, T! S
详细说明:
9 P( j" E; b& v
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!
+ q; r- o, K0 L
! D& @ x- {; ?7 d9 M3 U4 r, P! l
8 i! K! C1 T3 Z0 C( [( B% H
漏洞证明:
$ r. k, r% \& }
8 k& h6 x3 h4 V. |+ F. D+ J% C5 ^
% ?' c$ a; W0 Z" W/ [' @. P% j( Y
修复方案:
4 z7 j2 k% n7 F9 q3 }
过滤个人简介。
! ]- w/ p. ?8 z1 q' `
检查其他地方同类漏洞!
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2