漏洞描述 TomatoCMS是一款开源的内容管理系统。 TomatoCMS 2.0.6以及早期版本存在未限制文件上传漏洞。具有某些权限的远程认证用户可以借助未明目录中的对一个文件的直接请求上传图形文件,执行任意的PHP代码。