漏洞描述
SparkShop商城是一个基于thinkphp6 + elementui的开源免费可商用的高性能商城系统。该系统支持多种商城形式,包括小程序商城、H5商城、公众号商城、PC商城以及App商城,并且支持页面DIY、秒杀、优惠券、积分、分销、会员等级等多种营销功能。其 uploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
SparkShop /uploadFile 文件上传漏洞
PoC代码
暂无相关漏洞推荐
- POC CVE-2022-31101: Prestashop Blockwishlist 2.1.0 SQL Injection
- POC CVE-2025-51586: PrestaShop - Information Disclosure
- TPshop后台 弱口令漏洞
- 天锐绿盘云文档管理系统 /lddsm/main/auth.do/../../admin/activiti/uploadFile.do 文件上传漏洞
- PrestaShop tshirtecommerce /tshirtecommerce/fonts.php 目录遍历漏洞(CVE-2023-27640)
- PrestaShop MyPrestaModules send.php 信息泄露漏洞(CVE-2023-39677)
- PrestaShop /module/xipblog/archive SQL 注入漏洞(CVE-2023-27847)
- (CVE-2015-10135)WPshop 2 E-Commerce插件任意文件上传漏洞
- Project-Online-Shopping-Website SQL注入漏洞
- PrestaShop /module/tshirtecommerce/designer SQL 注入漏洞(CVE-2023-27637)
- PrestaShop SQL 注入漏洞(CVE-2023-46358)
- PrestaShop /module/askforaquote/QuotesCart SQL 注入漏洞(CVE-2023-27843)
- NiuShop开源商城 /index.php SQL 注入漏洞(CNVD-2017-08412)