正文

dbhcms_project dbhcms 信息暴露

admin
admin V管理员 /0 评论 /14 阅读
0422
此篇文章发布距今已超过1102天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-19890

利用情况

暂无

补丁情况

N/A

披露时间

2020-08-25
漏洞描述
DBHcms是一款用于个人和小型企业网站的小型免费开源内容管理系统。
DBHcms 1.2.0中的dbhcmsmodmod.editor.php $_GET['file']存在任意文件读取漏洞。攻击者可利用该漏洞读取任何文件的内容。
解决建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/ksbunk/dbhcms
参考链接
https://github.com/fragrant10/cve/tree/master/dbhcms1.2.0#15
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 dbhcms_project dbhcms 1.2.0 -
CVSS3评分 4.9
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 高
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-200 信息暴露 CWE-639 通过用户控制密钥绕过授权机制 CWE-862 授权机制缺失