漏洞描述
MojoPortal 是一个可扩展、跨数据库、移动友好的 web 内容管理系统(CMS)和 web 应用程序框架。MojoPortal CMS 的 /api/BetterImageGallery/imagehandler 接口存在文件读取漏洞(CVE-2025-28367)。在版本 <=2.9.0.1 中,该漏洞可能导致 ViewState 反序列化问题,未经身份验证的攻击者可以利用此漏洞泄露 Web 根目录中的敏感文件,包括 Web.config 文件。
MojoPortal /api/BetterImageGallery/imagehandler 文件读取漏洞(CVE-2025-28367)
PoC代码
暂无