关键信息 漏洞描述 名称: 07FLYCMS/07FLY-CMS/07FLYCRM UP TO 1.2.0 PICTUREUPLOAD FILE UNRESTRICTED UPLOAD CVSS Meta Temp Score: 4.5 当前利用价格: $0-$5k CTI兴趣评分: 2.61 漏洞影响 受影响产品: 07FLYCMS, 07FLY-CMS, 07FLYCRM up to 1.2.0 漏洞描述: 漏洞存在于文件/admin/File/pictureUpload中,通过文件上传功能允许上传任意文件。 CWE定义: CWE-434 影响: 可以上传或传输危险类型的文件,并在产品环境中自动处理。 漏洞利用 利用方式: 通过上传恶意文件进行攻击。 利用难度: 利用容易。 利用方式: 远程利用。 技术细节: 已公开。 公开利用: 已知。 MITRE ATT&CK: T1608.002 漏洞影响范围 受影响产品: 07FLYCMS, 07FLY-CMS, 07FLYCRM 公开利用: 已知。 联系厂商: 无法联系到厂商。 漏洞利用工具 利用工具: 可以从github.com下载。 利用工具: 已公开。 漏洞修复建议 建议: 使用替代产品。 相关链接 类似漏洞: VDB-274361, VDB-274362, VDB-274363, VDB-275135 总结 这个漏洞允许攻击者上传任意文件到受影响的产品中,可能对数据的机密性、完整性和可用性造成威胁。利用工具已公开,建议受影响用户尽快采取措施进行修复。