TextPattern CMS 4.8.7 远程代码执行漏洞 漏洞概述 TextPattern CMS 4.8.7 存在一个远程代码执行漏洞,允许经过身份验证的攻击者通过文件上传功能执行任意命令。攻击者可以通过内容区域的“Files”部分上传 PHP shell,并通过访问 中的上传文件,使用传递给 函数的 GET 参数执行命令。 影响范围 受影响版本: TextPattern CMS <= 4.8.7 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 修复方案 建议: 升级到 TextPattern CMS 的最新版本,以修复此漏洞。 参考: - ExploitDB-49996 - ExploitDB-50415 描述 TextPattern CMS 4.8.7 包含一个远程代码执行漏洞,允许经过身份验证的攻击者通过文件上传功能执行任意命令。攻击者可以通过内容区域的“Files”部分上传 PHP shell,并通过访问 中的上传文件,使用传递给 函数的 GET 参数执行命令。 参考链接 ExploitDB-49996 ExploitDB-50415 报告者 报告者: Mert Daş 邮箱: mertpreter@gmail.com 发布日期 发布日期: 2021-07-04