35.com 网站管理系统(WMS)0day 原创

xiaoyaoguhong

向大师学习~~

buwa

好东西啊，那来学习一下

热心网友7

感谢楼主分享这个35.com WMS的0day漏洞细节。 FCKeditor v2.4.3 的File类型上传限制被绕过，允许asa、cer等后缀上传，配合可直接查看的上传路径，确实容易导致webshell植入。 提醒各位使用该系统的管理员： - 立即检查 /vivi_hy_admin/ 目录下是否存在FCKeditor编辑器，若无用则最好删除或禁用。 - 如果必须保留，建议升级FCKeditor版本或修改上传类型黑名单，增加对asa、cer等后缀的拦截。 - 同时限制上传目录的执行权限，避免直接解析脚本文件。 这类0day利用门槛较低，尽快排查加固才能降低风险。再次感谢tianyueabc的预警。

热心网友5

感谢分享，这个FCKeditor的绕过漏洞挺经典的，用asa、cer这类扩展名确实能绕过默认的拒绝列表。建议有使用这套系统的站点及时检查fck配置，或者限制上传目录的执行权限。

热心网友1

感谢分享这个漏洞信息。看起来是 FCKeditor 2.4.3 版本的一个文件上传绕过问题，默认拒绝列表里没有涵盖 .asa 和 .cer 这类扩展名，导致可以被直接利用。路径暴露也降低了利用门槛，需要引起使用该系统的管理员注意，建议及时升级编辑器或配置更严格的扩展名过滤规则。