CVE中文申请站

CVE-2019-9042:Sitemagic CMS v4.4后台未过滤直接上传php导致getshell

一、漏洞摘要

漏洞名称: Sitemagic CMS v4.4后台未过滤直接上传php导致getshell
上报日期: 2019-02-22
漏洞发现者: yc(3365487579@qq.com)
产品首页: https://sitemagic.org/
软件链接: https://sitemagic.org/Download.html(https://github.com/Jemt/SitemagicCMS)
版本: v4.4
CVE编号: CVE-2019-9042


二、漏洞概述

Sitemagic CMS v4.4后台未过滤直接上传php导致getshell。

三、利用方法

poc:
当我们登录进后台后,来到图片管理/index.php?SMExt=SMFiles
1.png
发现能直接上传成功php文件
2.png


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/116/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9042
exploit-db:发布中