关键漏洞信息 漏洞类型 文件上传漏洞 影响系统 在线学生清关系统 (Online Student Clearance System) 漏洞描述 攻击者可以利用此漏洞在无需身份验证的情况下控制服务器。 漏洞存在于代码中, 用于处理文件内容和文件名,并将图像保存到服务器的 目录。最终,图像路径更新到数据库中的学生记录,但未验证文件类型,导致文件上传漏洞。 源代码地址 https://www.sourcecodester.com/php/17892/online-clearance-system.html 漏洞验证 使用 HTTP POST 请求向 发送恶意文件(如 PHP 脚本)。 成功上传后,恶意文件可通过 URL 访问: 示例请求 后果 攻击者可以通过上传恶意文件(如 PHP 脚本)来执行任意代码,从而完全控制服务器。