智邦国际系列统杀漏洞 0day及修复
简要描述:这个漏洞应该是系列统杀的,在后台附件上传处未对文件格式做限制,导致可上传任何类型文件。
利用方法:能够利用的地方有两处,一个是后台上传附件处。另一个就是直接访问域名/email/upload_flash.asp 或带上传功能的工具提交地址域名/email/upfile_flash.asp;
后台上传生成的文件在upload目录下,二处生成的文件在email目录下。

修补:对源码处进行修补,限制相关目录权限。


相关处理:已联系智邦国际