飞飞影视导航系统4.1.820版本存在任意文件删除漏洞,具体描述如下:
| 漏洞名称 | 飞飞影视导航系统4.1.820 任意文件删除漏洞 |
| 漏洞描述 | 该漏洞存在于后台管理系统中,允许攻击者通过特定的操作删除任意文件。 |
| 漏洞危害 | 可能导致网站数据丢失,影响网站正常运行。 |
| 漏洞复现 | 1. 登录后台管理系统后,点击数据库恢复,2. 在数据库备份处先进行备份,3. 选中一个文件并删除,然后尝试删除网站根目录下的index.php文件,4. 发包后发现网站根目录下的index.php文件已被成功删除。 |
| 漏洞审计 | 漏洞存在于feiLibActionAdminDataAction.class.php文件的delall函数中,该函数遍历通过POST参数获得的ids数组并删除对应文件,由于没有禁止操控路径,导致可以通过../返回上一级目录的操作来删除任意文件。 |
| 漏洞修复 | 在delall函数中增加对通过post函数传递过来的路径的处理,禁止操控路径,特别是返回上一级目录的操作(如../),可以修改代码为:@uninject(unlink(DATA_PATH.'_bak/'.$value));。 |
对于新飞飞游戏的部分服务器出现利用漏洞刷物品牟利的问题,开发组已紧急进行了漏洞修复及封禁处理,并对所有涉及账号进行了封禁处理,开发组也在积极优化游戏环境,后续将开通新的沟通渠道,听取玩家的声音。
(图片来源网络,侵删)
飞秋软件的测试版也存在缓冲区溢出漏洞,该漏洞可能允许攻击者执行任意代码,建议用户升级到最新版本以修复此漏洞。
信息仅供参考,如有需要,请咨询专业的网络安全专家或相关技术人员。
以上内容就是解答有关飞飞 漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/71068.html
