一、 漏洞 CVE-2022-50936 基础信息
漏洞信息
# WBCE CMS 1.5.2 认证RCE漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
WBCE CMS 1.5.2 - Remote Code Execution (RCE) (Authenticated)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WBCE CMS version 1.5.2 contains an authenticated remote code execution vulnerability that allows attackers to upload malicious droplets through the admin panel. Authenticated attackers can exploit the droplet upload functionality in the admin tools to create and execute arbitrary PHP code by crafting a specially designed zip file payload.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
WBCE CMS 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WBCE CMS是WBCE CMS开源的一套基于PHP和MySQL的开源内容管理系统(CMS)。 WBCE CMS 1.5.2版本存在代码问题漏洞,该漏洞源于经过身份验证的攻击者可通过管理面板上传恶意droplet,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-50936 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2022-50936 的情报信息
标题: WBCE CMS 1.5.2 - Remote Code Execution (RCE) (Authenticated) - PHP webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:### 关键漏洞信息 - **漏洞名称**: - WBCE CMS 1.5.2 - Remote Code Execution (RCE) (Authenticated) - **EID**: - 50707 - **CVE**: - N/A - **作者**: - Antonio Cuomo (arkantolo) - **类型**: - WEBAPPS - **平台**: - PHP - **发布日期**: - 2022-02-04 - **易受攻击的应用程序**: - WBCE CMS ### 其他信息 - **测试环境**: - Linux, PHP Version: 8.0.14 - **GitHub库**: - https://github.com/WBCE/WBCE_CMS - **代码片段**: - Python脚本用于执行远程代码注入,包括登录、创建droplet、创建和修改页面等步骤。
标题: Downloads - WBCE CMS -- 🔗来源链接
标签:product
神龙速读:## 关键漏洞信息 - **版本信息**: - 最新版本: WBCE CMS 1.6.5 (2025年7月12日发布) - 测试版: WBCE CMS 1.6.0 Portable (2023年3月13日发布) - **下载内容**: - 完整安装包 (包含Express-Installations-Script) - 更新包 (包含Express-Entpack-Script) - 本地测试实例 (Windows专用) - **注意事项**: - 本地测试实例: 仅适用于非生产环境, 不适合在IIS等真实Web服务器上运行。 - **系统要求**: - PHP版本: 8.1到8.4.x - 数据库: MySQL或MariaDB - 最小空间需求: 25MB - Web服务器: 不支持IIS - 模块特性需要特定PHP扩展支持, 如GD库、Imagema.
标题: Das benutzerfreundliche kostenlose Open-Source-CMS - WBCE CMS -- 🔗来源链接
标签:product
神龙速读:### 关键信息 - **版本更新**: - 发布了新版本 WBCE CMS 1.6.5,增强了安全性。 - 新增功能包括增加密码最小长度到12个字符,并在登录表单中添加了CAPTCHA验证,防止自动化破解。 - **安全性增强**: - 强化了密码安全措施,要求密码至少为12个字符。 - 引入了CAPTCHA验证,增强登录安全性,防止暴力破解。 ### 其他信息 - **社区与支持**: - 拥有活跃的社区和论坛支持,提供友好和专业的帮助。
标题: GitHub - WBCE/WBCE_CMS: Core package of WBCE CMS. This package includes the core and the default addons. Visit https://wbce.org (DE) or https://wbce-cms.org (EN) to learn more or to join the WBCE CMS community. -- 🔗来源链接
标签:product
神龙速读:从截图中可以获取到以下关于漏洞的关键信息: - **Security Policy**: - 存在一个安全策略链接,说明项目有明确的安全政策和流程来处理报告的漏洞。 - **Code Repository**: - 最新提交信息显示项目在3周前有代码更新。 - 代码库包含多个主要文件和目录,如 `README.md`, `SECURITY.md`, `LICENSE.md` 等,这些文件通常包含了项目的安装、使用和安全信息。 - **Releases**: - 最新版本为 `WBCE CMS 1.6.5`,发布于2025年12月7日,显示项目在持续维护和发新版本。 - **Contributors and Languages**: - 项目贡献者为11人,表明项目有活跃的开发者社区。 - 主要使用的编程语言包括 PHP (51.8%), JavaScript (36.7%), CSS (6.5%) 等。 查询漏洞信息时应审查 `SECURITY.md` 文件和安全政策链接,以获取有关报告和处理安全漏洞的详细信息和流程。
标题: WBCE CMS 1.5.2 - Remote Code Execution (RCE) (Authenticated) | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:## 关键信息 ### 漏洞概述 - **名称**: WBCE CMS 1.5.2 - Remote Code Execution (RCE) (Authenticated) - **严重性**: High - **日期**: January 13, 2026 - **影响版本**: WBCE CMS 1.5.2 ### CVE与CWE编号 - **CVE**: CVE-2022-50936 - **CWE**: CWE-434 Unrestricted Upload of File with Dangerous Type ### CVSS评分 - **基础评分**: 4.0 - **向量字符串**: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N ### 参考资料 - ExploitDB: [链接] - WBCE CMS 官方网站: [链接] - WBCE CMS 下载页面: [链接] - WBCE CMS GitHub 仓库: [链接] ### 发现者 Antonio Cuomo (arkantolo) ### 描述 WBCE CMS 版本 1.5.2 存在一个经过身份验证的远程代码执行漏洞,允许攻击者通过管理面板上传恶意的droplets。经过身份验证的攻击者可以通过在管理工具中利用droplet上传功能,通过精心设计的zip文件负载创建和执行任意PHP代码。
- https://nvd.nist.gov/vuln/detail/CVE-2022-50936
四、漏洞 CVE-2022-50936 的评论
匿名用户
2026-01-15 06:08:46Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.