关键信息 漏洞类型 CVE编号: 73 漏洞描述: 外部控制文件名或路径 严重性 评分: 高 (7.2) 影响版本 受影响版本: 未指定 发现者与修复者 发现者: Talha Karakumu 修复者: Peter Ivanov 描述 在MicroWebber CMS中,存在两个端点可以用于获取本地文件包含漏洞: 当以管理员身份登录时,可以读取操作系统中的任何可读文件。备份文件位于 。 概念验证 1. 将 文件上传到backups文件夹。 2. 从backups文件夹读取文件。 影响 此漏洞可能导致本地文件包含,并可用于获得对服务器的访问权限,尤其是结合目录遍历时。此外,原始文件在上传后会被删除,导致这些文件丢失。因此,删除webroot中的任何文件可能会导致web应用程序无法响应HTTP请求。