一、 漏洞 CVE-2019-8933 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
DedeCMS 5.7SP2版本中存在一个文件上传漏洞,攻击者可以上传并执行.php文件。

## 影响版本
- DedeCMS 5.7SP2

## 漏洞细节
攻击者可以通过以下步骤上传并执行.php文件:
1. 访问管理页面。
2. 点击模板。
3. 点击默认模板管理。
4. 点击新建模板。
5. 将文件名从`../index.html`修改为`../index.php`## 影响
此漏洞允许绕过Web应用防火墙,上传恶意的.php文件,从而可能导致远程代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In DedeCMS 5.7SP2, attackers can upload a .php file to the uploads/ directory (without being blocked by the Web Application Firewall), and then execute this file, via this sequence of steps: visiting the management page, clicking on the template, clicking on Default Template Management, clicking on New Template, and modifying the filename from ../index.html to ../index.php.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Desdev DedeCMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Desdev DedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)公司的一套基于PHP的开源内容管理系统(CMS)。该系统具有内容发布、内容管理、内容编辑和内容检索等功能。 Desdev DedeCMS 5.7SP2版本中存在安全漏洞。远程攻击者可通过在添加新模板时,将文件名../index.html更改成../index.php利用该漏洞向uploads/目录上传.php文件并执行该文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-8933 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/Threekiii/Awesome-POC/blob/master/CMS%E6%BC%8F%E6%B4%9E/DedeCMS%205.7SP2%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2019-8933.md POC详情
三、漏洞 CVE-2019-8933 的情报信息