中国网络渗透测试联盟

标题: 方维社会化分享系统一句话漏洞 [打印本页]

作者: admin    时间: 2012-11-12 10:43
标题: 方维社会化分享系统一句话漏洞
[attach]115[/attach][attach]116[/attach]简要描述:  N( l+ Q5 q; v- a1 M
0 L/ E. I' a/ e/ c, U; _5 h
个人简介过滤不严格,导致一句话任意执行代码。* d) J4 m) {& H! Q: H% M* F1 y
: `2 `0 R; Y7 i, L8 n# N- z
详细说明:# L/ o, Y# G- K  d0 ?
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码!; @0 S( m, e7 V0 S6 z4 ^1 b

% n; o4 [- o$ g$ a/ q, }: b6 f1 q, x4 ~0 m: Q
漏洞证明:
# f' ?" T9 d( s% T4 \
% j9 {6 d- I" O3 U5 }+ w1 ?  @
# {0 {) T' H& i& q! R6 x) Y修复方案:9 l1 E8 d; y7 n$ W( v
过滤个人简介。7 o3 K2 d9 `7 v5 I- Z
检查其他地方同类漏洞!




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2