漏洞描述
雅虎通是一款非常流行的即时通讯工具。 雅虎通的CYFT ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞向用户系统上传任意文件。 CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤,远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件,但是相关的控件默认情况下不能远程调用。
雅虎通CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞
PoC代码
暂无相关漏洞推荐
- 金和OA AcceptGetFileName.aspx SQL注入漏洞
- 金和OA AcceptGetFileNameEdit.aspx SQL注入漏洞
- 金和OA AcceptGetFileNameEdit.aspx SQL注入漏洞
- cellinxnvt-getfilecontent-cgi-fileread: Cellinx NVT - GetFileContent.cgi - FileRead
- POC CVE-2024-4885: Progress Software WhatsUp Gold GetFileWithoutZip Directory Traversal - Remote Code Execution
- POC download-unsigned-activex-allowed: Download of Unsigned ActiveX Controls Allowed
- POC nsfocus-sas-getfile-readfile: 绿盟 SAS堡垒机 GetFile 任意文件读取漏洞
- 普华科技-PowerPMS GetFilesData SQL注入漏洞
- 金和OA GetFileContent 任意文件读取
- 上海普华科技发展股份有限公司PowerPMS接口GetFilesData处存在SQL注入
- 顺景ERP /api/TMScmQuote/GetFile 文件读取漏洞
- 顺景ERP GetFile 任意文件读取漏洞
- 顺景ERP TMScmQuote/GetFile 任意文件读取漏洞