根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: PROJECTSANDPROGRAMS SCHOOL MANAGEMENT SYSTEM UP TO 6B6FAE5426004F89C08BD0DD101C7FA71F9042A59 PROFILE PICTURE SETTINGS.PHP FILE UNRESTRICTED UPLOAD 漏洞类型: 不受限制的文件上传 (Unrestricted Upload)。 受影响组件: Profile Picture Handler (具体文件为 )。 漏洞描述: 在 文件中, 组件存在一个不受限制的文件上传功能。攻击者可以通过操纵 参数来利用此漏洞。 严重程度: 关键 (Critical)。 CVSS Meta Temp Score: 5.7 CTI Interest Score: 1.81 当前利用价格: $0 - $5k 2. 影响范围 (Impact/Scope): 受影响产品: ProjectsAndPrograms School Management System。 受影响版本: 版本 及之前的版本 (UP TO)。 具体文件: 。 CWE编号: CWE-434 (Unrestricted Upload of File with Dangerous Type)。 CVE编号: CVE-2026-5472 (注意:截图中的CVE编号看起来像是未来的或者虚构的,或者是特定的内部编号,但我应该照实记录截图中的内容)。 3. 修复方案 (Remediation): 状态: 该产品实施滚动发布 (rolling release) 进行持续交付。 可用性: 目前无法提供受影响或已更新版本的信息 (version information for affected or updated releases is unavailable)。这意味着没有明确的补丁版本。 4. POC/利用代码 (POC/Exploit Code): 仔细检查截图,虽然提到了 "Additionally, an exploit exists" (此外,存在利用程序),但在截图的可见范围内(Summary 和 Details 部分),并没有显示具体的 POC 代码或利用代码块。只有文字描述。因此,我不需要提取代码块,或者说明未找到。 5. 总结构建: 将上述信息整合成简洁的中文markdown。 Drafting the response: 标题: 漏洞总结 概述: 描述漏洞名称、类型、CVSS分数。 影响范围: 列出受影响的产品、版本、文件路径、CWE/CVE。 修复方案: 说明目前无明确修复版本。 代码: 说明截图中未包含具体代码。 Refining the content based on the image text: Title: PROJECTSANDPROGRAMS SCHOOL MANAGEMENT SYSTEM... Summary text: "A vulnerability categorized as critical has been discovered..." Details text: "A vulnerability was found in ProjectsAndPrograms School Management System up to 6b6fae5426004f89c08bd0dd101c7fa71f9042a59..." Let's write it down. 漏洞关键信息总结 漏洞概述 漏洞名称: ProjectsAndPrograms School Management System Profile Picture Settings.php 文件不受限制上传漏洞 漏洞类型: 不受限制的文件上传 (Unrestricted Upload) 严重程度: 关键 (Critical) CVSS 评分: 5.7 (Meta Temp Score) 描述: 在 文件的 组件中发现了一个不受限制的文件上传功能。攻击者可以通过操纵 参数远程利用此漏洞。 影响范围 受影响产品: ProjectsAndPrograms School Management System 受影响版本: 版本 及之前的版本 (UP TO) 受影响文件: CWE 编号: CWE-434 (Unrestricted Upload of File with Dangerous Type) CVE 编号: CVE-2026-5472 修复方案 状态: 该产品采用滚动发布 (rolling release) 模式进行持续交付。 建议: 目前无法提供受影响或已更新版本的具体信息,建议关注厂商后续更新。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码块,仅文字描述存在利用程序 (an exploit exists)。