UNKNOWNCVE-2016-20052
Snews CMS 1.7 में snews_files के माध्यम से बिना प्रतिबंध के फ़ाइल अपलोड
प्लेटफ़ॉर्म
php
कॉम्पोनेन्ट
snews-cms
Snews CMS 1.7 में एक बिना प्रतिबंध के फ़ाइल अपलोड भेद्यता है जो गैर-प्रमाणित हमलावरों को snews_files निर्देशिका में मनमाना फ़ाइलें, जिसमें PHP निष्पादन योग्य भी शामिल हैं, अपलोड करने की अनुमति देती है। हमलावर मल्टीपार्ट फॉर्म-डेटा अपलोड एंडपॉइंट के माध्यम से दुर्भावनापूर्ण PHP फ़ाइलें अपलोड कर सकते हैं और उन्हें दूरस्थ कोड निष्पादन प्राप्त करने के लिए अपलोड की गई फ़ाइल पथ तक पहुंचकर निष्पादित कर सकते हैं।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें