Likeshop HTTP POST 请求 File.php userFormImage 无限制上传 (CVE-2024-0352)

CVE编号

CVE-2024-0352

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-10
漏洞描述
Likeshop up to 2.5.7.20210311 存在一处安全漏洞,被分类为严重级别。该漏洞影响 HTTP POST 请求处理组件的 file server/application/api/controller/File.php 的函数 FileServer::userFormImage。攻击者可以通过对参数 file 的篡改来实现未受限的文件上传。攻击可以远程发起,且已经公开披露并可能被利用。该漏洞的标识符为 VDB-250120。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://note.zhaoj.in/share/ciwYj7QXC4sZ
https://vuldb.com/?ctiid.250120
https://vuldb.com/?id.250120
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 likeshop likeshop * Up to
(including)
2.5.7.20210311
CVSS3评分
7.3
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
CWE-ID 漏洞类型
CWE-434 危险类型文件的不加限制上传
阿里云安全产品覆盖情况