漏洞标题
N/A
漏洞描述信息
在Plogger 1.0 RC1和更早版本中,plog-admin/plog-upload.php中的未授权文件上传漏洞允许远程授权用户执行任意代码,方法是将包含PHP文件和一个非零长度PNG文件的 ZIP 文件上传,然后通过在plog-content/uploads/archive/中直接向该PHP文件发送请求来访问它。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Unrestricted file upload vulnerability in plog-admin/plog-upload.php in Plogger 1.0 RC1 and earlier allows remote authenticated users to execute arbitrary code by uploading a ZIP file that contains a PHP file and a non-zero length PNG file, then accessing the PHP file via a direct request to it in plog-content/uploads/archive/.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Plogger 代码注入漏洞
漏洞描述信息
Plogger是一套免费开源的且基于PHP+MySQL+GD的下一代网络相册程序,它支持按设定尺寸自动生成缩略图、为图片添加评论等。 Plogger 1.0 RC1版本及之前版本的plog-admin/plog-upload.php脚本中存在任意文件上传漏洞。远程攻击者可通过上传包含PHP文件和非零长度的PNG文件的zip文件利用该漏洞执行任意代码。
CVSS信息
N/A
漏洞类别
代码注入