跳转至

极致CMS 后台文件编辑插件 后台任意文件写入漏洞

漏洞描述

极致CMS后台中含有文件编辑插件,通过逻辑漏洞可任意修改文件

漏洞影响

极致CMS

网络测绘

icon_hash="1657387632"

漏洞复现

登陆后台查看插件处,有一个后台编辑的插件

img

安装之后设置密码并使用, 如果已经设有密码,重新安装插件即可解决密码未知问题

img

修改为php代码

img

成功执行php代码的命令