关键漏洞信息 Title: tinyfilemanager 2.6 File Upload(RCE) Description: - 存在一个漏洞,通过 参数可指定任意上传路径。 - 尽管过滤了诸如" "的目录遍历尝试,但扩展名验证不充分,允许上传web shell到指定路径。 - 导致远程命令执行和服务器完全被攻陷。 Disclosure Information: - 8月报告此问题并确认漏洞存在。 - 整改进程缓慢,经过后续邮件通信,2个月后获回应,确认可公开披露。 - 鉴于风险高且需用户立即行动,提交至VuDB以获得CVE编号。 Additional Information: - Source:  - User: arrestrr - Submission: 2025年12月12日 04:06 PM (22天前) - Moderation: 2025年12月27日 11:07 AM (15天后) - Status: - VuDB entry: 338516 [prathephmani TinyFileManager up to 2.6 tinyfilemanagerphp fullpath path traversal] - Points: 17