OFCMS后台ueditor uploadImage文件上传漏洞

CNVD编号CNVD-2019-06617

CVE编号 CVE-2019-9608	CNNVD编号 CNNVD-201903-187
CICSVD编号 --
危害级别	漏洞类型通用型漏洞
公开时间 2019-03-06	报送时间 2019-03-07
收录时间 2019-03-09	更新时间 2019-03-09
CVSS 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 3.X CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影响产品 ofsoft OFCMS <1.1.3

漏洞描述

OFCMS是一款基于Java技术的内容管理系统。 OFCMS 1.1.3之前版本存在后台ueditor uploadImage文件上传漏洞。该漏洞源于对.jsp和.jspx文件的阻止未考虑admin/ueditor/uploadImage URI的file.jsp::$DATA。远程攻击者可利用该漏洞执行任意代码。

漏洞解决方案

厂商尚未提供漏洞修复方案，请关注厂商主页更新： http://www.ofsoft.cn/

厂商补丁

暂无

验证信息

(暂无验证信息)

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2019-9608

漏洞附件

检索漏洞