海洋CMS远程命令执行(CNVD-2020-22721)
| 类别 | 描述 |
| 漏洞 | SeaCMS v10.1存在一个命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数时,对用户输入没有进行任何处理,直接写入文件,攻击者可利用该漏洞执行恶意代码,获取服务器权限。 |
| 漏洞背景 | 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 |
| 漏洞利用 | 通过访问后台路径 /manager,使用默认密码 admin:admin 登录后,可以通过IP参数注入执行恶意代码,如写入一句话木马 ";eval($_POST[123]);//",并通过蚁剑连接获取shell。 |
海洋CMS前台getshell漏洞(CVE-2024-29275)
(图片来源网络,侵删)
| 类别 | 描述 |
| 漏洞 | 海洋CMS影视管理系统的 /js/player/dmplayer/dmku/ 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限。 |
| 漏洞背景 | 海洋CMS是一套专为不同需求的站长而设计的视频点播系统。 |
| 漏洞利用 | 攻击者可以通过向search.php传递特制的参数,绕过字符限制,最终执行恶意代码,通过设置searchtype=5和特定的searchword参数,可以触发漏洞并执行任意PHP代码。 |
海洋CMS6.28远程代码执行漏洞
| 类别 | 描述 |
| 漏洞 | 海洋CMS6.28版本存在远程代码执行漏洞,攻击者通过未正确过滤的参数,利用eval()函数执行任意PHP代码,实现对系统主机的入侵。 |
| 漏洞背景 | 海洋CMS是一套专为不同需求的站长而设计的视频点播系统。 |
| 漏洞利用 | 攻击者可以通过构造特定的payload,触发eval()函数执行恶意代码,从而获取系统控制权。 |
海洋CMS6.53前台注入漏洞
| 类别 | 描述 |
| 漏洞 | 海洋CMS6.53版本存在前台注入漏洞,攻击者可以通过特定参数注入恶意代码,执行任意PHP代码。 |
| 漏洞背景 | 海洋CMS是一套专为不同需求的站长而设计的视频点播系统。 |
| 漏洞利用 | 攻击者可以通过向search.php传递特制的参数,绕过字符限制,最终执行恶意代码,通过设置searchtype=5和特定的searchword参数,可以触发漏洞并执行任意PHP代码。 |
海洋CMS存在多个版本的安全漏洞,包括远程命令执行、SQL注入和代码执行等,这些漏洞可能允许攻击者执行恶意代码,获取服务器权限或敏感信息,为了防范此类安全风险,建议及时更新到最新版本,并对用户输入进行严格的验证和过滤。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/61532.html
