从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞概述 标题: Instant Developer任意文件上传漏洞 漏洞类型: 任意文件上传 产品供应商: Pro Gamma 受影响产品: Instant Developer RD3框架 受影响版本: RD3 22.5 r30 攻击向量: 网络 影响: 可能的未授权远程代码执行 (RCE) OWASP Top Ten类别: A04:2021 - 不安全设计 严重性: 关键 CVSSv3分数: 9.8 CVSSv3向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CPE: cpe:2.3:a:instantdeveloper:rd3:22.5:r30:::: 描述 Instant Developer是一个用于开发多渠道和跨平台应用程序的高生产力平台家族。它包含所有工具,以集成和优化的方式开发、部署和管理这些系统。 与原始CVE-2022-39983的区别 在具有Java后端和恶意JavaScript Pages (JSP)有效载荷的Web应用程序上也可以利用该漏洞。 在这种情况下,即使没有对Web应用程序进行身份验证,也可以利用该漏洞,而无需经过身份验证的“SessionID”。 该CVE变体还影响高于22.5 r23的版本,在22.5 r30版本中发现了该漏洞。 修复措施 使用RD3框架的最新版本重新编译应用程序,并在产品自定义的情况下联系供应商。 致谢 发现者: Swascan (Tinexta Cyber) 更新和变体发现者: Emanuele Di Marco @ Alten Italy 状态 于2025年2月报告给供应商: - 原始漏洞已在涵盖ASP.NET的框架版本中得到修正,但确认该漏洞也可能存在于不同服务器端框架(如Java和JavaScript Pages (JSP))的后续版本中,但在2025年7月16日之前未收到响应/修复。