禅道lt1242文件上传漏洞分

公益中国援助定点白癜风医院 https://m-mip.39.net/czk/mipso_6169853.html
1、前言百度云安全团队监测到禅道官方发布了文件上传漏洞的风险通告，该漏洞编号为CNVD-C--，漏洞影响禅道=12.4.2版本。登陆管理后台的恶意攻击者可以通过fopen/fread/fwrite方法读取或上传任意文件，成功利用此漏洞可以读取目标系统敏感文件或获得系统管理权限。我们对漏洞进行了复现和分析，由于需要登录后台才可以利用，实际风险相对较低，建议受影响的禅道用户尽快升级到最新版。2、漏洞分析下载12.4.3版本和12.4.2版本源代码进行对比，发现module/client/ext/model/xuanxuan.php新增了如下代码：分析downloadZipPackage方法,该方法传入版本参数和link地址，将link地址base64解码，判断是否为

转载请注明：http://www.aierlanlan.com/cyrz/6943.html