漏洞描述QiboCMS 是一款开源的内容管理系统,拥有独特的可视化标签技术。 QiboCMS 中的 hr/listperson.php 变量内容未完全过滤,导致其可以包含本地任意文件。黑客可借助头像上传等功能上传恶意文件,在网站上执行 PHP 代码。 漏洞修复通过官方渠道,将 QiboCMS 升级至最新版本。