漏洞标题
N/A
漏洞描述信息
在Eric Gerdes的Crafty Syntax Image Gallery(CSIG,也称为PHP thumbnail Photo Gallery)3.1g和更早版本中,newimage.php允许远程登录的用户通过multipart/form-data POST方式上传和执行任意PHP代码,其中 fullimage 参数中的.jpg 文件名,ext 参数设置为.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
newimage.php in Eric Gerdes Crafty Syntax Image Gallery (CSIG) (aka PHP thumbnail Photo Gallery) 3.1g and earlier allows remote authenticated users to upload and execute arbitrary PHP code via a multipart/form-data POST with a .jpg filename in the fullimage parameter and the ext parameter set to .php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Crafty Syntax Image Gallery newimage.php 权限认证和访问控制漏洞
漏洞描述信息
Eric Gerdes Crafty Syntax Image Gallery(CSIG) 3.1g及早期版本(又称PHP缩略图图片库)的newimage.php可让远程未授权的用户上传和执行任意的PHP代码,方式是通过在设置的php文件中的fullimage和ext参数中的一个multipart/form-data POST,这个POST带一个扩展名为jpg的文件名。
CVSS信息
N/A
漏洞类别
授权问题