关键信息 1. 漏洞名称: - ZZCMS 2023 FUNCTIONS.PHP EBAK_SETGOTOPAK FILE UNRESTRICTED UPLOAD 2. CVE编号: - CVE-2024-10293 3. CVSS Meta Temp Score: - 6.0 4. 当前利用价格: - $0-$5k 5. CTI兴趣评分: - 1.92 6. 受影响的组件: - ZZCMS 2023, functions.php, Ebbak5.1/upload/class/functions.php 7. 漏洞描述: - 通过文件上传功能,攻击者可以上传或传输危险类型的文件,这些文件可以在产品环境中自动处理。这将影响产品的机密性、完整性和可用性。 8. 影响严重性: - 严重性被分类为严重 9. 利用方式: - 通过文件上传功能,攻击者可以上传或传输危险类型的文件 10. 利用难度: - 利用难度被描述为容易 11. 公开披露: - 漏洞信息已公开披露 12. 利用工具: - 利用工具已公开 13. 利用方法: - 利用方法已公开 14. 利用代码: - 利用代码已公开 15. 利用工具下载: - 利用工具已公开下载 16. 利用代码下载: - 利用代码已公开下载 17. 利用代码描述: - 利用代码被描述为proof-of-concept 18. 利用代码搜索: - 通过搜索inurl:3/Ebbak5.1/upload/class/functions.php可以找到易受攻击的目标 19. 可能的缓解措施: - 建议替换受影响的组件 20. 相关CVE编号: - VDB-274363, VDB-275135, VDB-276217, VDB-277502 总结 这个漏洞描述了ZZCMS 2023中一个文件上传功能的未授权上传漏洞,可以通过上传危险类型的文件来利用。漏洞的严重性被分类为严重,利用难度被描述为容易,且漏洞信息已公开披露。利用工具和利用代码已公开,可以通过搜索特定的URL来找到易受攻击的目标。建议替换受影响的组件作为缓解措施。