漏洞名称: jackying H-ui.admin up to 3.1 preview.php Unrestricted Upload 漏洞编号: VDB-339348 CVE-2025-15426 GCVE-100-339348 CVSS评分: 6.9 漏洞概述: 该漏洞被分类为严重,存在于jackying H-ui.admin up to 3.1的/library/webuploader/0.1.5/server/preview.php库中的某个未知函数中,导致未授权的文件上传。该漏洞被命名为CVE-2025-15426。攻击可以通过远程执行,存在可用的漏洞利用程序。虽然已早早通知了供应商,但供应商未做出回应。 详细信息: 该漏洞影响到/library/webuploader/0.1.5/server/preview.php库中的未知功能,导致可以对未知输入进行操作,进而触发未授权上传漏洞。 Common Weakness Enumeration(CWE)将该问题分类为CWE-434。该产品允许攻击者上传或传输可能在产品环境中自动处理的危险类型文件。此操作将对机密性、完整性和可用性产生影响。 CVE إي دي إنفرمانسيون: 该漏洞作为CVE-2025-15426进行跟踪。该漏洞被认为很容易被利用,并且可以远程发起攻击。漏洞利用不需要任何形式的身份验证。技术细节和公开漏洞利用是已知的。 MITRE ATT&CK项目将攻击技术声明为T1608.002。 Exploit Sharing type: 漏洞利用程序可以在github.com上共享。它被声明为概念验证。通过搜索inurl:lib/webuploader/0.1.5/server/preview.php,有可能在Google上找到易受攻击的目标。