CVE-2021-47753 — 神龙十问 AI 深度分析摘要

🚨 **本质**：phpKF CMS 存在**未经验证的文件上传**漏洞。 💥 **后果**：攻击者可绕过扩展名检查，直接上传恶意脚本，导致**远程代码执行 (RCE)**。

🔍 **CWE**：CWE-434（不安全的文件上传）。 🛠 **缺陷点**：后端未对上传文件的**扩展名**进行严格校验，允许执行文件类型混入。

📦 **厂商**：Phpkf。 📱 **产品**：phpKF CMS。 ⚠️ **版本**：**3.00 Beta y6** 版本受影响。

👑 **权限**：获得服务器**远程代码执行**权限。 📊 **数据**：可完全控制目标系统，窃取数据、植入后门或横向移动。 📈 **CVSS**：满分高危 (10.0)，影响完整性、机密性和可用性。

🚪 **门槛**：**极低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

💣 **Exploit**：有现成利用代码。 🔗 **来源**：ExploitDB **50610**。 🌍 **在野**：数据未明确标记在野利用，但PoC已公开。

🔎 **自查**：检查 phpKF CMS 版本是否为 **3.00 Beta y6**。 📡 **扫描**：使用漏洞扫描器检测文件上传接口是否存在**扩展名绕过**逻辑缺陷。

🛡️ **补丁**：数据中**未提供**官方补丁链接或修复版本信息。 📅 **发布时间**：2026-01-15（注：此为数据中的未来时间，需核实实际状态）。

🚧 **临时规避**： 1. **禁用上传功能**：若业务不需要，直接关闭文件上传入口。 2. **WAF防护**：配置Web应用防火墙，拦截可疑的文件上传请求。 3. **目录权限**：限制上传目录的执行权限。

🔥 **优先级**：**紧急 (P0)**。 ⚡ **理由**：CVSS 10.0，无需认证即可远程执行代码，风险极高。 🏃 **行动**：立即隔离受影响实例，升级版本或实施严格缓解措施。