一、 漏洞 CVE-2025-8128 基础信息
漏洞信息
# 周硕光乐 产品.js 任意上传漏洞
### 概述
在 zhousg letao 产品的 `routes\bf\product.js` 文件中发现了一个关键级别的漏洞。该漏洞源于对参数 `pictrdtz` 的处理不当,导致出现**无限制文件上传**问题。攻击者可远程发起攻击,且该漏洞已被公开披露,可能已被利用。
### 影响版本
该漏洞存在于版本 `7d8df0386a65228476290949e0413de48f7fbe98` 及之前版本中。
### 细节
- 漏洞文件路径:`routes\bf\product.js`
- 漏洞参数:`pictrdtz`
- 漏洞类型:无限制文件上传(Unrestricted Upload)
- 攻击方式:远程攻击
- 漏洞状态:已曝光,存在可能的利用行为
### 影响
- 攻击者可上传任意文件,可能导致服务器沦陷、恶意代码执行等严重后果。
- 由于产品采用**滚动发布**模式,无法确定具体受影响和修复漏洞的版本,加剧风险管理和修复难度。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-8128 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-8128 的情报信息
-
标题: Arbitrarily File Upload Vulnerability · Issue #13 · zhousg/letao -- 🔗来源链接
标签: issue-tracking
神龙速读
-
标题: Arbitrarily File Upload Vulnerability · Issue #13 · zhousg/letao -- 🔗来源链接
标签: exploit issue-tracking
神龙速读
-
-
标题: CVE-2025-8128 zhousg letao product.js unrestricted upload (Issue 13) -- 🔗来源链接
标签: vdb-entry technical-description
神龙速读
-
标题: Submit #619740: zhousg https://github.com/zhousg/letao <=1.0.0 Dangerous type of file upload (CWE-434) -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-8128