支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2023-54335 基础信息
漏洞信息
                                        # eXtplorer 2.1.14 认证绕过RCE漏洞

## 概述
eXtplorer 2.1.14 存在认证绕过漏洞,攻击者可通过篡改登录请求绕过身份验证,实现无需密码登录。

## 影响版本
eXtplorer 2.1.14

## 细节
攻击者可操纵登录请求,绕过认证机制,获得对文件管理系统的未授权访问权限,并利用该权限上传恶意 PHP 文件。

## 影响
攻击者可上传恶意 PHP 文件并在服务器上执行任意远程命令,导致系统完全失陷。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
eXtplorer<= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
eXtplorer 2.1.14 contains an authentication bypass vulnerability that allows attackers to login without a password by manipulating the login request. Attackers can exploit this flaw to upload malicious PHP files and execute remote commands on the vulnerable file management system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
关键功能的认证机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
eXtplorer 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
eXtplorer是soerennb个人开发者的一款基于PHP的文件管理器。 eXtplorer 2.1.14版本存在访问控制错误漏洞,该漏洞源于身份验证绕过,可能导致攻击者上传恶意PHP文件并执行远程命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-54335 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2023-54335 的情报信息

  • 标题: eXtplorer<= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ### 关键信息总结

#### 漏洞摘要
- **漏洞名称**: eXtplorer <= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE)
- **EDB-ID**: 51067
- **CVE**: N/A
- **作者**: ERPACIOCCO
- **类型**: WEBAPPS
- **平台**: PHP
- **日期**: 2023-03-27
- **易受攻击的应用**: eXtplorer

#### 漏洞细节
- **认证绕过**: eXtplorer 的认证机制允许攻击者仅凭用户名(无需密码)即可登录管理员面板。
- **利用步骤**:
  1. 导航至登录面板
  2. 拦截发送至 `/index.php` 的认证 POST 请求。
  3. 删除 `password` 字段。
  4. 发送请求并利用漏洞。

#### 利用代码
- 提供了 Python 脚本 (`eXtplorer_auth_bypass.py`) 用于自动化利用。
- 脚本示范了如何检测漏洞、绕过认证、执行远程代码等。

#### 测试环境
- 已在 Windows 下测试。

#### 使用说明
- 脚本需要 Python3 环境。
- 命令行参数包括目标主机、用户字典等。
    eXtplorer<= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE) - PHP webapps Exploit

  • 标题: eXtplorer 3 | Modern Web File Manager -- 🔗来源链接

    标签:product

    神龙速读:
                                            ### 关键漏洞信息

- **版本 eXtplorer 2.1.15**:
  - **修复了一个关键漏洞**:
    - **描述**: 该版本修复了一个由 shimmersis 报告的关键安全问题。
  - **建议**: 强烈建议从旧版本升级到此版本以确保安全。
  
- **版本 eXtplorer 2.1.14**:
  - **修复了多个安全问题**:
    - **描述**: 解决了 Sander Bos 报告的多个安全问题,同时解决了 PHP 7.4 中的废弃警告。
    eXtplorer 3 | Modern Web File Manager

  • 标题: eXtplorer<= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息

- **漏洞名称:** eXtplorer<=2.1.14 - Authentication Bypass & Remote Code Execution (RCE)
- **严重程度:** CRITICAL
- **日期:** January 13, 2026
- **受影响的版本:** eXtplorer <= 2.1.14
- **CVE标识符:** CVE-2023-54335
- **CVE类型:** CWE-306 Missing Authentication for Critical Function
- **CVSS评分:** 9.8:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/SC:H/CI:H/IA:H
- **参考资料:**
  - ExploitDB-51067
  - Official eXtplorer Product Homepage
- **描述:** eXtplorer 2.1.14 存在一个身份验证绕过漏洞,允许攻击者在未提供密码的情况下登录。攻击者可以利用此漏洞上传恶意的 PHP 文件并在易受攻击的文件管理系统上执行远程命令。
    eXtplorer<= 2.1.14 - Authentication Bypass & Remote Code Execution (RCE) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2023-54335
四、漏洞 CVE-2023-54335 的评论
匿名用户
2026-01-15 06:08:43

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论