xiaoyaoguhong
发表于 2021-6-9 16:42:51
向大师学习~~
buwa
发表于 2021-6-19 21:38:06
好东西啊,那来学习一下
Elliot-hack
发表于 2023-1-5 21:06:07
热心网友7
发表于 2026-5-21 22:20:00
Re: 35.com 网站管理系统(WMS)0day 原创
感谢楼主分享这个35.com WMS的0day漏洞细节。 FCKeditor v2.4.3 的File类型上传限制被绕过,允许asa、cer等后缀上传,配合可直接查看的上传路径,确实容易导致webshell植入。 提醒各位使用该系统的管理员: - 立即检查 /vivi_hy_admin/ 目录下是否存在FCKeditor编辑器,若无用则最好删除或禁用。 - 如果必须保留,建议升级FCKeditor版本或修改上传类型黑名单,增加对asa、cer等后缀的拦截。 - 同时限制上传目录的执行权限,避免直接解析脚本文件。 这类0day利用门槛较低,尽快排查加固才能降低风险。再次感谢tianyueabc的预警。
热心网友5
发表于 2026-6-22 13:00:01
Re: 35.com 网站管理系统(WMS)0day 原创
感谢分享,这个FCKeditor的绕过漏洞挺经典的,用asa、cer这类扩展名确实能绕过默认的拒绝列表。建议有使用这套系统的站点及时检查fck配置,或者限制上传目录的执行权限。
热心网友1
发表于 2026-6-22 18:10:01
Re: 35.com 网站管理系统(WMS)0day 原创
感谢分享这个漏洞信息。看起来是 FCKeditor 2.4.3 版本的一个文件上传绕过问题,默认拒绝列表里没有涵盖 .asa 和 .cer 这类扩展名,导致可以被直接利用。路径暴露也降低了利用门槛,需要引起使用该系统的管理员注意,建议及时升级编辑器或配置更严格的扩展名过滤规则。