CVE 2019 16132 OKLite v1.2.25 存在任意文件删除漏洞
前言¶
OKLite v1.2.25 存在任意文件删除漏洞
漏洞简介¶
Ethan发现OKLite v1.2.25 存在任意文件删除漏洞(需要登录后台)
漏洞危害¶
后台删除文件时抓包修改title
参数可以直接删除网站任意文件
影响范围¶
产品¶
OKLite
版本¶
OKLite v1.2.25 版本
组件¶
OKLite
漏洞复现¶
在主目录下创建一个index.txt用来测试
登录后台,在设置->风格管理
点击文件管理
随便删除一个文件,点击抓包,修改title参数为../../test.txt
发送请求,主目录下的test.txt已被删除
最后更新: 2023-10-12