CVE-2026-36387: CODEASTRO Membership Management System Unrestricted File Upload RCE

CVE-2026-36387: CODEASTRO Membership Management System v1.0 未限制文件上传导致远程代码执行 (RCE) 漏洞概述 CODEASTRO Membership Management System v1.0 存在未限制文件上传漏洞，攻击者可以通过上传恶意文件（如 PHP 脚本）并在服务器上执行，从而实现远程代码执行 (RCE)。 影响范围 成功利用此漏洞允许攻击者在服务器上执行任意系统命令。 可能导致： - 完整服务器被控制 - 未经授权访问敏感数据 - 修改或删除应用程序数据 - 部署持久后门或 Web 壳 - 在网络中进行横向移动 修复方案 对上传的文件进行严格的验证和过滤，确保只允许上传合法的文件类型。 对上传的文件名进行重命名，避免使用原始文件名。 将上传的文件存储在非 Web 可访问的目录中。 对上传的文件内容进行安全检查，防止执行恶意代码。 复现步骤 (PoC) 1. 使用有效凭据登录应用程序。 2. 导航到会员注册页面： 。 3. 在“会员照片”字段下找到文件上传功能。 4. 选择要上传的图像文件，并使用代理工具（例如 Burp Suite）拦截上传请求。 5. 修改拦截的请求，上传包含服务器端可执行代码（例如 PHP 脚本）的文件，而不是有效的图像文件。确保文件以 扩展名保存。 6. 完成上传过程并确认文件已成功存储在服务器上。 7. 重新登录相应用户（如果需要）。 8. 导航到“管理会员”部分 ，打开相应会员的配置文件，并定位上传的文件。 9. 通过浏览器打开上传的文件： 。 10. 在 URL 中附加命令参数，例如： 。 11. 观察服务器是否执行提供的命令并返回系统级输出（例如 的内容），确认成功远程代码执行 (RCE)。 参考 发现者：Raneisha Justin，2026年2月。

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2026-36387: CODEASTRO Membership Management System Unrestricted File Upload RCE

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2026-36387: CODEASTRO Membership Management System Unrestricted File Upload RCE

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！