漏洞关键信息 漏洞标识 CVE编号: CVE-2025-66802 漏洞描述 描述: Sourcecodester Covid-19 Contact Tracing System 1.0 存在一个漏洞,分类为带有危险类型的文件的不受限制的上传(CWE-434)。应用程序在文件上传功能中未能正确验证上传的文件类型,允许远程攻击者上传可由服务器执行的任意文件。成功利用此漏洞可能导致以 Web 服务器进程的权限的远程代码执行。该漏洞可以远程利用,可能影响受攻击系统的机密性、完整性和可用性。 影响产品 应用: Sourcecodester Covid-19 Contact Tracing System 版本: 1.0 厂商: https://www.sourcecodester.com 漏洞详情 类型: 不受限制的具有危险类型的文件上传 CWE编号: CWE-434 攻击向量: 网络 攻击复杂性: 低 所需权限: 无 用户交互: 无。该漏洞是由于服务器端对上传文件的验证不足造成的,使攻击者能够上传具有可执行扩展名的文件。 影响 成功利用此漏洞的攻击者可能在目标服务器上执行任意代码。根据服务器配置,这可能导致系统全面被攻陷、对敏感数据的未经授权访问、应用行为的修改或服务中断。 CVSS 评分 CVSS v3.1 基本分数: 9.8 (严重) 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 利用条件 利用此漏洞需要访问受影响的文件上传功能,并且在没有适当的服务器端文件类型、扩展名或内容验证的情况下能够上传文件。此次披露未提供公开利用代码。 减缓措施 建议受影响用户: - 实施严格的服务器端文件上传验证 - 限制允许的文件扩展名和 MIME 类型 - 将上传文件存储在 Web 根目录之外 - 禁止上传目录的执行权限 - 应用可用的供应商补丁或更新