漏洞标题
N/A
漏洞描述信息
"Pixie 1.0.4 允许远程验证的用户通过 admin/index.php?s=publish&x=filemanager 请求的 POST 数据上传和执行任意的 PHP 代码,对于带有双重扩展名的文件名,例如.jpg.php 文件,Content-Type 设置为 image/jpeg。" 将原文翻译成中文:
"Pixie 1.0.4 允许远程验证的用户通过 admin/index.php?s=publish&x=filemanager 请求的 POST 数据上传和执行任意的 PHP 代码,对于带有双重扩展名的文件名,例如.jpg.php 文件,Content-Type 设置为 image/jpeg。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Pixie 1.0.4 allows remote authenticated users to upload and execute arbitrary PHP code via the POST data in an admin/index.php?s=publish&x=filemanager request for a filename with a double extension, such as a .jpg.php file with Content-Type of image/jpeg.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Pixie 安全漏洞
漏洞描述信息
Pixie是一套开源轻型网站内容管理系统(CMS)。该系统支持CSS主题、所见即所得编辑器等。 Pixie 1.0.4版本中存在安全漏洞。远程攻击者可利用该漏洞上传并执行任意的PHP代码。
CVSS信息
N/A
漏洞类别
代码注入