漏洞标题
Admidio存在通过消息附件的任意文件上传导致的RCE漏洞
漏洞描述信息
Admidio是一个免费的、开源的用户管理系统,适用于组织和团体的网站。在Admidio应用(在版本4.3.10之前)中,消息模块存在远程代码执行漏洞。在该模块中,可以上传一个PHP文件作为附件。通过URL`{admidio_base_url}/adm_my_files/messages_attachments/{file_name}`,可以将上传的文件公开访问。这个漏洞是由于文件扩展名验证的缺失导致的,允许恶意文件被上传到服务器,并且上传的文件可以被公开访问。这个漏洞已经在4.3.10版本中得到修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
危险类型文件的不加限制上传
漏洞标题
Admidio Vulnerable to RCE via Arbitrary File Upload in Message Attachment
漏洞描述信息
Admidio is a free, open source user management system for websites of organizations and groups. In Admidio before version 4.3.10, there is a Remote Code Execution Vulnerability in the Message module of the Admidio Application, where it is possible to upload a PHP file in the attachment. The uploaded file can be accessed publicly through the URL `{admidio_base_url}/adm_my_files/messages_attachments/{file_name}`. The vulnerability is caused due to the lack of file extension verification, allowing malicious files to be uploaded to the server and public availability of the uploaded file. This vulnerability is fixed in 4.3.10.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
漏洞类别
危险类型文件的不加限制上传
漏洞标题
Admidio 安全漏洞
漏洞描述信息
Admidio是Admidio团队的一套开源的成员管理系统。该系统支持成员列表、事件管理、留言簿、相册和下载等功能。 Admidio 4.3.10之前版本存在安全漏洞,该漏洞源于存在远程代码执行漏洞,可以在附件中上传PHP文件。
CVSS信息
N/A
漏洞类别
其他