最新漏洞

FineCMS SYS_KEY未初始化导致任意文件写入

起初我以为这个sys_key是随机生成的.然后我本地和vps上发现都是一样的.最后去看了下源码发现没有生成这个值的地方.最后的最后看了开源的地址http://git.oschina.net/dayrui/finecms/blob/master/v5/config/system.php

发现是固定值 24b16fede9a67c9251d3e7c7161c83ac

文件:finecms/dayrui/controllers/Api.php

之前的一样.正则获取的地方有问题.image后面的值为任意值.导致悲剧的发生

 

原文链接:http://0day5.com/archives/4421/

(0)

本文由 安全周 作者:追梦 发表,转载请注明来源!

热评文章

发表评论