漏洞总结:BoidCMS 本地文件包含 (LFI) 导致远程代码执行 (RCE) 漏洞概述 BoidCMS 版本 2.1.2 及更早版本存在一个关键漏洞。攻击者可以通过 参数利用路径遍历序列,从服务器的媒体目录包含任意文件,从而导致未经身份验证的远程代码执行 (RCE)。 影响范围 受影响版本:BoidCMS <= 2.1.2 修复版本:2.1.3 CVSS 评分:7.2 (HIGH) 攻击向量:网络 攻击复杂度:低 所需权限:高 (管理员) 用户交互:无 影响: - 机密性:高 - 完整性:高 - 可用性:高 修复方案 升级到 BoidCMS 版本 2.1.3 或更高版本。 概念验证 (POC) 代码