从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:UTCMS V9 - 漏洞类型:RCE(远程代码执行) - 描述:cli.php页面可以在没有身份验证的情况下执行系统命令。虽然有过滤,但过滤不严格。 2. 分析: - 直接访问:app/modules/ut-cac/admin/cli.php页面可以直接访问,且没有身份验证。 - 过滤规则:过滤规则规定命令只能以cd、php、nohup或composer开头,但系统命令可以通过"nohup whoami"执行。 3. POC(Proof of Concept): - 请求: - 响应: 这些信息表明,UTCMS V9存在一个RCE漏洞,可以通过直接访问cli.php页面并执行系统命令来利用。