漏洞描述
泛微云桥存在任意文件上传漏洞,ResumeController 模块未对上传文件类型进行严格校验。未授权的攻击者可以通过构造特定的 multipart 请求,上传任意文件,从而绕过文件类型限制。利用 /wxclient/app/recruit/resume/addResume 接口,攻击者能够上传并执行恶意文件,最终实现远程命令执行。
泛微云桥 e-Bridge resume 任意文件上传漏洞
PoC代码
暂无相关漏洞推荐
- ecology-ebridge-addtaste-sqli: 泛微云桥 taste/addTaste SQL注入
- 泛微云桥 e-Bridge checkMobile接口存在SQL注入漏洞
- POC 泛微云桥 addTasteJsonp SQL注入漏洞
- POC 泛微云桥 checkmobile SQL注入漏洞
- 泛微云桥 e-Bridge addTasteJsonp 接口存在SQL注入漏洞
- 泛微云桥 addResume 任意文件上传漏洞
- 泛微 云桥e-Bridge /wxclient/app/recruit/resume/addResume 存在文件上传漏洞
- POC 泛微云桥 e-Bridge addTaste接口SQL注入漏洞
- 泛微云桥e-Bridge /taste/addTaste 路径存在SQL注入
- 泛微云桥e-Bridge /saveYZJFile 路径任意文件读取漏洞
- 泛微云桥e-Bridge任意文件读取漏洞