漏洞信息(CVE-2014-8739)

一、漏洞 CVE-2014-8739 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
jQuery File Upload Plugin 6.4.4中存在不限制文件上传漏洞，攻击者可以通过上传包含PHP代码的PHP文件并直接访问该文件来执行任意代码。

## 影响版本
- jQuery File Upload Plugin 6.4.4
- Creative Solutions Creative Contact Form（原为Sexy Contact Form）WordPress版本低于1.0.0
- Creative Solutions Creative Contact Form Joomla!版本低于2.0.1

## 漏洞细节
该漏洞位于服务器端的`server/php/UploadHandler.php`文件中。攻击者可以上传具有PHP扩展名的PHP文件，这些文件将会被保存在`files/`目录下。攻击者随后可以通过直接请求该文件来执行任意PHP代码。

## 影响
此漏洞已被野外攻击者利用，在2014年10月发现了实际攻击案例。该漏洞可以导致远程代码执行，从而危害网站的安全性。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Unrestricted file upload vulnerability in server/php/UploadHandler.php in the jQuery File Upload Plugin 6.4.4 for jQuery, as used in the Creative Solutions Creative Contact Form (formerly Sexy Contact Form) before 1.0.0 for WordPress and before 2.0.1 for Joomla!, allows remote attackers to execute arbitrary code by uploading a PHP file with an PHP extension, then accessing it via a direct request to the file in files/, as exploited in the wild in October 2014.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Adobe Creative Cloud Desktop Application 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Adobe Creative Cloud Desktop Application是美国奥多比（Adobe）公司的一套用于在Creative云会员管理中心管理应用程序和服务的应用程序。该程序支持同步和共享文件、管理字体以及访问商业摄影和设计的资产库。 Adobe Creative Cloud Desktop Application之前版本（WordPress）和2.0.1之前版本（Joomla!）中的jQuery File Upload Plugin 6.4.4版本存在代码问题漏洞。远程攻击者可借助特制PH

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2014-8739 的公开POC

#	POC 描述	源链接	神龙链接
1	None	https://github.com/Pranjal6955/CVE-2014-8739-Test-Environment	POC详情
2	Unrestricted file upload vulnerability in server/php/UploadHandler.php in the jQuery File Upload Plugin 6.4.4 for jQuery, as used in the Creative Solutions Creative Contact Form (formerly Sexy Contact Form) before 1.0.0 for WordPress and before 2.0.1 for Joomla!, allows remote attackers to execute arbitrary code by uploading a PHP file with an PHP extension, then accessing it via a direct request to the file in files/, as exploited in the wild in October 2014.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2014/CVE-2014-8739.yaml	POC详情

三、漏洞 CVE-2014-8739 的情报信息

https://www.exploit-db.com/exploits/35057/ x_refsource_MISC
https://www.exploit-db.com/exploits/36811/ x_refsource_MISC
http://www.openwall.com/lists/oss-security/2014/11/11/4 x_refsource_MISC
http://www.openwall.com/lists/oss-security/2014/11/11/5 x_refsource_MISC
http://www.openwall.com/lists/oss-security/2014/11/13/3 x_refsource_MISC
https://wordpress.org/plugins/sexy-contact-form/changelog/ x_refsource_MISC
http://osvdb.org/show/osvdb/113669 x_refsource_MISC
http://osvdb.org/show/osvdb/113673 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2014-8739

四、漏洞 CVE-2014-8739 的评论

暂无评论

一、 漏洞 CVE-2014-8739 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2014-8739 的公开POC

三、漏洞 CVE-2014-8739 的情报信息

四、漏洞 CVE-2014-8739 的评论

发表评论

一、漏洞 CVE-2014-8739 基础信息