|
|
简要描述:& R3 q5 Z7 ?! `( b& P# L0 g3 T; }
5 [6 J) o, g) h) w5 ^' E1 q/ c+ }! J
个人简介过滤不严格,导致一句话任意执行代码。
( q2 I# B: C* Y3 Z+ ?8 X$ J4 L4 n" r% H" N% X1 T) Z |
详细说明:7 ^4 ~- ]4 l! m7 T0 k
个人简介过滤不严格,将用户提交的代码保存下来,模板缓存后再次读取时直接执行用户代码! a) b1 N8 |/ H) f6 |
( [* y M) H! E+ t, i/ N w1 t4 \% X- N: X1 e% E Y8 {5 P3 ]' q
漏洞证明:
- Y) w& Q. `* w
, U& n+ g" p+ c2 o7 T- N! u/ l: A: Z0 H8 q: m6 g
修复方案:( ]4 s: j2 p; r- @9 Z4 o$ k
过滤个人简介。 Q4 B8 Z" ?, Z
检查其他地方同类漏洞! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|