首页 > 安全研究 > 安全通报 > 安全通告

PHP-Fusion远程代码执行漏洞安全通告

发布时间 2019-05-22

漏洞编号和级别


CVE编号:CVE-2019-12099,危险级别:高级,CVSS分值:8.8


影响版本


受影响的版本

PHP-Fusion 9.03.00


漏洞概述


PHP-Fusion是一个轻量级开源内容管理系统。它采用mySQL数据库存储网站内容并提供一个简单,全面的后台管理系统。PHP-Fusion包含大多数CMS系统所具有的功能。简约而不简单。

在php fusion 9.03.00中,edit_profile.php允许远程经过身份验证的用户执行任意代码,因为includes/dynamics/includes/form_fileinput.php和includes/classes/phpfusion/installer/lib/core.settings.inc在上传avatar期间错误处理了可执行文件。


漏洞验证


EXP:https://www.exploit-db.com/exploits/46839。


修复建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6。


参考链接


https://github.com/php-fusion/PHP-Fusion/commit/943432028b9e674433bb3f2a128b2477134110e6
https://www.pentest.com.tr/exploits/PHP-Fusion-9-03-00-Edit-Profile-Remote-
Code-Execution.html
https://www.exploit-db.com/exploits/46839

上一篇 下一篇