超级会员免费看
该博客详细介绍了Likeshop 2.5.7.20210311及之前版本存在的任意文件上传漏洞,问题出在`server/application/api/controller/File.php`的参数`file`。博主提醒,此漏洞可能被用于非法活动,但文章仅供学习使用,禁止非法操作。文章提供漏洞复现步骤,并给出资产确定和修复方案的链接。
漏洞描述
Likeshop是Likeshop开源的一个社交商务策略的完整解决方案。Likeshop 2.5.7.20210311及之前版本存在代码问题漏洞,该漏洞源于文件server/application/api/controller/File.php的参数file会导致不受限制的上传。
免责声明
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!
漏洞集合
资产确定
icon_hash="874152924" && body="/pc/"
漏洞复现
漏洞链接:https://127.0.0.1/api/file/formimage
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
