Snews CMS 1.7 содержит уязвимость неограниченной загрузки файлов, которая позволяет неаутентифицированным злоумышленникам загружать произвольные файлы, включая исполняемые файлы PHP, в каталог snews_files. Злоумышленники могут загружать вредоносные файлы PHP через конечную точку загрузки многочастных данных формы и выполнять их, обращаясь к пути к загруженному файлу, чтобы добиться удаленного выполнения кода.
Показать оригинальное описание (EN)
Snews CMS 1.7 contains an unrestricted file upload vulnerability that allows unauthenticated attackers to upload arbitrary files including PHP executables to the snews_files directory. Attackers can upload malicious PHP files through the multipart form-data upload endpoint and execute them by accessing the uploaded file path to achieve remote code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0