漏洞标题
N/A
漏洞描述信息
Kusaba 1.0.4 及其更早版本中的多个未授权的文件上传漏洞允许远程授权用户执行任意代码,通过使用 (1) 加载_接收者.php 或 (2) 将绘画_保存.php 作为上传者动作,然后通过在他们的用户目录中直接请求该文件来访问上传的文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple unrestricted file upload vulnerabilities in Kusaba 1.0.4 and earlier allow remote authenticated users to execute arbitrary code by uploading a file with an executable extension using (1) load_receiver.php or (2) a shipainter action to paint_save.php, then accessing the uploaded file via a direct request to this file in their user directory.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Kusaba 'paint_save.php' 远程代码执行漏洞
漏洞描述信息
Kusaba 1.0.4 及其早期版本中存在多个无限制上传漏洞。远程验证用户通过上传一个具有可执行扩展名的文件,该文件扩展名使用(1)load_receiver.php或(2)对paint_save.php的一个shipainter操作,并对用户目录的文件提交一个直接请求来访问该文件,以执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题