漏洞描述
Gibbon Edu 是一款开源的教育软件,专为学校和教育机构设计,用于管理行政和学术流程。它提供了一系列功能,旨在促进教育社区内部的沟通、协作和组织。Gibbon Edu 21.0.0到25.0.0版本rubrics_visualise_saveAjax.php文件存在文件上传漏洞,未经身份验证的攻击者可以向该应用程序上传任意文件,并在底层系统上实现代码执行(RCE)。为了实现远程代码执行(RCE),攻击者需要伪造一个假图片文件,并将其保存为 PHP 文件。
Gibbon /modules/Rubrics/rubrics_visualise_saveAjax.php 文件上传漏洞(CVE-2023-45878)
PoC代码
暂无