首頁 > 安全研究 > 安全通報 > 安全通告

PHP-Fusion遠程代碼執行漏洞安全通告

發布時間 2019-05-22

漏洞編號和級別


CVE編號:CVE-2019-12099,危險級別:高級,CVSS分值:8.8


影響版本


受影響的版本

PHP-Fusion 9.03.00


漏洞概述


PHP-Fusion是一個輕量級開源內容管理系統。它采用mySQL數據庫存儲網站內容并提供一個簡單,全面的后臺管理系統。PHP-Fusion包含大多數CMS系統所具有的功能。簡約而不簡單。

在php fusion 9.03.00中,edit_profile.php允許遠程經過身份驗證的用戶執行任意代碼,因為includes/dynamics/includes/form_fileinput.php和includes/classes/phpfusion/installer/lib/core.settings.inc在上傳avatar期間錯誤處理了可執行文件。


漏洞驗證


EXP:https://www.exploit-db.com/exploits/46839。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6。


參考鏈接


https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6
https://www.pentest.com.tr/exploits/PHP-Fusion-9-03-00-Edit-Profile-Remote-
Code-Execution.html
https://www.exploit-db.com/exploits/46839

上一篇 下一篇