近期,中国安全研究人员发现CmsEasy的一个漏洞。攻击者在前台提交恶意链接,可以成功获取网站的管理权限,导致网站内敏感数据泄露,安全风险较高。
漏洞详情见下文。
漏洞编号
暂无
漏洞名称
CmsEasy前台无限制GetShell漏洞
漏洞等级
高
漏洞描述
该漏洞允许外部用户通过精心构造的恶意链接上传Webshell文件,获取CMS系统的Webshell权限,从而导致系统敏感数据泄露。
漏洞利用条件及方式
远程利用
漏洞影响范围
CmsEasy <= 5.6_20160825
漏洞修复建议(或临时措施)
- 备份现有的文件和数据。
- 下载升级包upgrade_20161012,解压并上传覆盖CmsEasy程序安装目录。
参考信息