漏洞关键信息总结 漏洞概述 漏洞描述:员工信息录入接口存在关键的无限制文件上传漏洞。攻击者可绕过文件类型验证和授权机制,直接向服务器上传恶意 WebShell 脚本。成功上传后,攻击者立即获得服务器级权限,实现完全RCE,可远程执行任意系统命令、窃取核心业务数据、植入勒索软件或加密货币挖矿程序,并可能横向渗透内网其他服务器。 --- 影响范围 受影响系统:jkev Personnel Record Management System V1.0 具体文件: (添加员工页面) 攻击入口:员工信息录入接口 --- 修复方案 页面未提供具体修复方案,建议: 1. 对上传文件进行严格的类型验证(白名单机制) 2. 对上传文件进行重命名和隔离存储(非Web目录) 3. 实施身份验证和授权检查 4. 限制上传文件大小 --- 参考资源 漏洞来源:https://github.com/whatsyourname12345/CVE/blob/main/PRMS/cve_Arbitrary%20File%20Upload%20to%20RCE.md VulDB条目:https://vuldb.com/?id=290884 提交者:@cherish (UID 96588) 状态:已审核通过 (Reviewed) 积分:20分