漏洞描述
elFinder是一个基于PHP、Jquery的开源文件管理系统。 在elFinder2.1.48及以前的版本中,存在一处参数注入漏洞。攻击者可以利用这个漏洞在目标服务器上执行任意命令,即使是最小化安装的elFinder。这个漏洞的原因除了参数注入外,还有默认情况下的未授权访问,因此我们可以对elFinder增加权限校验,避免任意用户操作服务器上的文件,进而避免被执行任意命令。
elFinder ZIP 参数与任意命令注入(CVE-2021-32682)
PoC代码
暂无相关漏洞推荐
-
CVE-2019-9194: elFinder <= 2.1.47 - Command Injection POC
2025-08-01 | elFinderelFinder before 2.1.48 has a command injection vulnerability in the PHP connector. The vulnerability... -
CVE-2021-32682: elFinder 2.1.58 - Remote Code Execution POC
2025-08-01 | elFinderelFinder 2.1.58 is impacted by multiple remote code execution vulnerabilities that could allow an at... -
CVE-2021-43421: Studio-42 elFinder <2.1.60 - Arbitrary File Upload POC
2025-08-01 | Studio-42 elFinderStudio-42 elFinder 2.0.4 to 2.1.59 is vulnerable to unauthenticated file upload via connector.minima... -
ShowDoc /server/index.php?s=/api/adminUpdate/download 文件上传漏洞(CVE-2021-36440) 无POC
2025-09-12 | ShowDocShowDoc 2.9.5版本存在一个高危的文件上传漏洞(CVE-2021-36440),该漏洞源于系统未能对上传文件的类型进行充分验证。攻击者可以绕过安全限制上传任意类型的危险文件,包括但不限于PH... -
CVE-2021-1497: Cisco HyperFlex HX Data Platform - Remote Command Execution POC
2025-09-01 | Cisco HyperFlex HX Data PlatformCisco HyperFlex HX contains multiple vulnerabilities in the web-based management interface that coul...