关键漏洞信息 漏洞标识符 CVE-2025-28168 漏洞描述 在Multiple File Upload组件中发现的漏洞,影响3.1.0之前的版本。问题在于支持的文件扩展名未在服务器端验证,攻击者可以通过拦截文件上传请求并修改supportedExtensions参数来绕过限制。此外,文件大小验证仅在客户端执行,攻击者可以篡改客户端JavaScript代码以绕过此限制。 漏洞类型 Unrestricted File Upload 产品供应商 Multi Uploaders 受影响的产品代码库 Multiple File Upload prior to 3.1.0 链接 受影响的组件 File Upload functionality prior to 3.1.0 攻击类型 Remote 影响 Denial of Service: true 攻击向量 攻击者可以拦截文件上传请求(通常使用Burp Suite等代理工具),并修改请求以上传恶意文件,如Web shell、可执行脚本或大型资源密集型文件。 参考链接 组件版本 组件文档