关键信息总结 漏洞概述 漏洞名称: Instant Developer RD3 - Arbitrary File Upload (CVE-2022-39983) CVSS 评分: 9.8 严重性: Critical 技术摘要 资产: Instant Developer RD3 < 22.5 R23 漏洞类型: Arbitrary File Upload OWASP ASVS Score: L0.x GVSSv6.1 Base Score: 8.8 CWE/SVG Base Vector: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H OWASP Top10 2021: A04 Insecure Design 漏洞描述 位置: 文件中的 控件 影响: 允许攻击者上传任意文件,包括恶意代码和反向shell 证据: - 证据1: 文件中的相关代码片段 - 证据2: 成功上传反向shell的命令示例 - 证据3: 在目标服务器上获得交互式反向shell的终端截图 修复建议 措施: 升级到Instant Developer框架版本22.5 R23或更高版本 参考资料 提供了多个参考资料链接,包括漏洞详情、OWASP指南等 披露时间线 发现日期: 2022年7月25日 通知厂商: 2022年8月24日 厂商确认: 2022年8月26日 发布CVE ID: 2023年1月16日 厂商考虑 包含厂商对漏洞的具体考虑和修复建议的详细说明