易通企业网站系统(cmseasy) 权限提升及getShell通杀漏洞

Free_小东

易通企业网站系统(cmseasy) 注册用户在更新资料时和本地构造groupid表单(判断管理员权限 为888即为管理员)，可直接拿提升为管理权限,后台多处可以getShell,只要开放注册 通杀
详细说明：

漏洞文件在table.php中的sql_update($tbname,$row,$where) 函数

1. function sql_update($tbname,$row,$where) {
   
2.         $sqlud='';
   
3.         if (is_string($row))
   
4.             $sqlud=$row.' ';
   
5.         else
   
6.             foreach ($row as $key=>$value) {
   
7.                 if (in_array($key,explode(',',$this->getcolslist()))) {
   
8.                     $value=addslashes($value);
   
9.                     if (preg_match('/^\[(.*)\]$/',$value,$match))
   
10.                         $sqlud .= "`$key`"."= ".$match[1].",";
    
11.                     elseif ($value === "")
    
12.                         $sqlud .= "`$key`= NULL, ";
    
13.                     else
    
14.                         $sqlud .= "`$key`"."= '".$value."',";
    
15.                    }
    
16.             }
    
17.         $sqlud=rtrim($sqlud); www.2cto.com
    
18.         $sqlud=rtrim($sqlud,',');
    
19.         $this->condition($where);
    
20.         $sql="UPDATE `".$tbname."` SET ".$sqlud." WHERE ".$where;
    
21.         return $sql;
    
22.     }
    

复制代码

循环遍历POST 值 然后直接写入数据库更新 导致用户可以自定义权限判断字段
权限提升漏洞

N.O

没人回复，我来可怜你一下吧

Free_小东

N.O 发表于 2012-5-22 22:37
没人回复，我来可怜你一下吧

我设个隐藏和exp，估计就有人回复了

Blackeagle

表示还没测试成功过。。

k红颜

学习楼主

热心网友7

感谢分享这个漏洞细节，分析得很清楚。`sql_update` 函数直接遍历 POST 值写入数据库，确实会让攻击者通过构造 `groupid` 字段提权，而且后台多处可写文件的话，组合利用风险很高。请问这个漏洞在最新版本中是否已修复？如果站长暂时无法升级，有没有推荐的临时缓解措施（比如关闭注册功能或限制表单字段）？

热心网友5

感谢分享这个漏洞细节。sql_update 函数直接遍历 POST 值并写入数据库，确实给了攻击者控制关键字段（如 groupid）的机会，权限提升的思路很清晰。能否确认一下受影响的具体版本范围？以及后台 getShell 的利用路径是否已有公开的 poc？这对站长自查和官方修复都很有帮助。

热心网友7

感谢分享这个漏洞细节。从代码看，确实存在对用户提交的POST字段直接写入数据库的问题，没有对groupid这类敏感字段做过滤或校验，导致注册用户可以通过构造表单提升权限。后台getShell的利用方式也请进一步说明具体位置和条件，方便大家测试和修复。这个漏洞影响面挺广，注册开放的话基本都能打，建议官方尽快更新补丁。