漏洞描述
灵当CRM系统的 /crm/weixinmp/index.php 接口存在任意文件写入漏洞。攻击者可以通过发送特制的POST请求,利用该接口写入包含恶意代码的文件,并在服务器上执行该文件。由于缺乏对写入文件类型和路径的有效验证,攻击者能够上传并执行任意代码,从而控制服务器或进行其他恶意操作。
灵当CRM uploadfile 任意文件写入漏洞
PoC代码
暂无相关漏洞推荐
- 灵当 CRM /crm/WeiXinApp/yunzhijia/yunzhijiaApi.php SQL 注入漏洞
- POC KINGOSOFT高校智慧校园教学综合服务平台 uploadfile 任意文件上传漏洞
- 因酷教育软件开源网校程序uploadfile任意文件上传漏洞
- 百卓Smart uploadfile存在任意文件上传漏洞
- showdoc-uploadfile: Showdoc Uploadfile
- glodon-oa-msgbroadcastuploadfile-uploadfile: 广联达oa 后台文件上传漏洞 (需登录)
- POC enjoyscm-uploadfile: enjoyscm UploadFile任意文件上传
- POC esafenet-uploadfilefromclientserviceforclient-fileupload: 亿赛通 电子文档安全管理系统 UploadFileFromClientServiceForClient 任意文件上传
- POC h5-yun-commodtiy-uploadfile: H5 云商城 file.php 文件上传
- POC huatiandongli-oa-downloadfortrace-fileread: 灵当CRM Playforrecord.php 任意文件读取漏洞
- POC jeespringcloud-uploadfile-fileupload: JeeSpringCloud uploadFile.jsp 任意文件上传
- POC jinher-uploadfileblock-fileupload: 金和OA UploadFileBlock接口任意文件上传
- POC kingdee-eas-myuploadfile-fileupload: 金蝶EAS myUploadFile接口任意文件上传