漏洞描述
rConfig userprocess.php存在任意用户创建漏洞,发送特定的请求包攻击者可以创建管理员账户登录后台,出现漏洞的原因是对权限设定错误,任何人都可以通过访问这个文件创建管理员用户。
rConfig userprocess.php 任意用户创建漏洞
PoC代码
暂无相关漏洞推荐
- CVE-2019-16663: rConfig v3.9.2 RCE
- POC CVE-2019-16662: rConfig 3.9.2 - Remote Code Execution
- POC CVE-2020-10220: rConfig 3.9 - SQL Injection
- POC CVE-2020-10546: rConfig 3.9.4 - SQL Injection
- POC CVE-2020-10547: rConfig 3.9.4 - SQL Injection
- POC CVE-2020-10548: rConfig 3.9.4 - SQL Injection
- POC CVE-2020-10549: rConfig <=3.9.4 - SQL Injection
- POC CVE-2020-12256: rConfig 3.9.4 - Cross-Site Scripting
- POC CVE-2020-12259: rConfig 3.9.4 - Cross-Site Scripting
- POC CVE-2020-13638: rConfig 3.9 - Authentication Bypass(Admin Login)
- POC CVE-2020-9425: rConfig <3.9.4 - Sensitive Information Disclosure
- POC CVE-2021-29006: rConfig 3.9.6 - Local File Inclusion
- POC CVE-2023-39108: rConfig 3.9.4 - Server-Side Request Forgery