漏洞分享 - 威德網頁設計 FANTSY 存在Arbitrary File Upload漏洞
威德網頁設計 FANTSY 存在Arbitrary File Upload漏洞
一、摘要
FANTSY檔案管理功能未過濾上傳的檔案類型,遠端攻擊者可以用一般使用者的權限登入後,上傳含有Webshell的php檔案,並執行任意程式碼,藉以控制系統或中斷服務。
二、存在風險
FANTSY檔案管理功能未過濾上傳的檔案類型,遠端攻擊者可以用一般使用者的權限登入後,上傳含有Webshell的php檔案,並執行任意程式碼,藉以控制系統或中斷服務,其影響系統或版本如下:
- 威德網頁設計 FANTSY v2.1.8
建議改善措施:請維護廠商協助更新或提出解決方案。