作者: pigdefeet
简要描述:
存在目录遍历 漏洞 ,且可以通过相关路径上传恶意文件,但不能执行。
详细说明:
fckeditor的上传目录可以遍历,如http://HdhCmsTestcoremail.cn/editor/editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=File&CurrentFolder=%2F
通过http://HdhCmsTestcoremail.cn/editor/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/可上传shell文件,只做了简单的测试,没有成功。但不能保证可拦截所有形式的恶意文件上传。
漏洞证明:
修复方案:
你们最专业~
查看更多关于网易coremail主站存在目录遍历及文件上传漏洞及修的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11275