01
漏洞描述
FeehiCMS (English) 首款编写单元测试、功能测试、验收测试的yii2开源系统。
基于yii2的CMS系统,运行环境与yii2(php>=5.4)一致。FeehiCMS旨在为yii2爱好者提供一个基础功能稳定完善的系统,使开发者更专注于业务功能开发。FeehiCMS没有对yii2做任何的修改、封装,但是把yii2的一些优秀特性几乎都用在了FeehiCMS上,虽提供文档, 但FeehiCMS提倡简洁、快速上手,基于FeehiCMS开发可以无需文档,反倒FeehiCMS为yii2文档提供了最好的实例。
02
漏洞危害
Feehi CMS v2.1.1 的广告管理模块中的任意文件上传漏洞(运营管理--广告管理--选择需要上传的图片--抓包修改后缀名)即可完成上传,可参考如下链接:https://github.com/liufee/cms/issues/62
广告管理模块位置可上传后缀名为php的文件,可上传一句话方可执行命令。
03
影响范围
Feehi CMS v2.1.1
04
漏洞等级
高危
05
修复方案
官方目前尚未发布漏洞修复程序,请关注厂商:
http://www.feehi.com/
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Feehi CMS 文件上传漏洞(CVE-2022-34971)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论