CVE中文申请站

CVE-2019-16314:indexhibit cms v2.1.5 存在重装并导致getshell

一、漏洞摘要

漏洞名称: indexhibit cms v2.1.5 存在重装并导致getshell
上报日期: 2019-09-10
漏洞发现者: 夜程(3365487579@qq.com)
产品首页: https://www.indexhibit.org/
软件链接: https://www.indexhibit.org/
版本: v2.1.5
CVE编号: CVE-2019-16314


二、漏洞概述

indexhibit CMS 2.1.5版本存在一个重装漏洞,导致网站可以直接被getshell。

三、利用方法

直接访问/ndxzstudio/install.php,提示已安装
1.png
但是,通过参数p可以绕过,直接重新安装
2.png
填写相关信息后安装成功:
3.png
poc:
/ndxzstudio/install.php?p=2

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/236/
github:https://github.com/Indexhibit/indexhibit/issues/16
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16314
exploit-db:发布中