漏洞标题
N/A
漏洞描述信息
在 XiaoCms 20141229 中发现了一个问题。它允许远程攻击者通过使用类型参数执行任意代码,以绕过标准 admin\controller\uploadfile.php 对上传文件类型的限制(jpg, jpeg, bmp, png, gif),如 admin/index.php?c=uploadfile&a=uploadify_upload&type=php URI。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in XiaoCms 20141229. It allows remote attackers to execute arbitrary code by using the type parameter to bypass the standard admin\controller\uploadfile.php restrictions on uploaded file types (jpg, jpeg, bmp, png, gif), as demonstrated by an admin/index.php?c=uploadfile&a=uploadify_upload&type=php URI.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
XiaoCms 安全漏洞
漏洞描述信息
XiaoCms是一套基于PHP和MySQL并能够运行在Linux、Windows等平台上的轻量级内容管理系统(CMS)。 XiaoCms 20141229版本中的admin\controller\uploadfile.php文件存在安全漏洞。远程攻击者可通过使用‘type’参数利用该漏洞绕过对上传文件类型的限制(jpg、jpeg、bmp、png和gif)。
CVSS信息
N/A
漏洞类别
代码注入