严重 yyoa A8协同管理软件任意文件上传漏洞

CVE编号

N/A

利用情况

漏洞武器化

补丁情况

没有补丁

披露时间

2021-04-09

漏洞描述

2021攻防演习期间，yyoa A8协同管理软件被爆存在远程任意文件上传漏洞，攻击者利用漏洞可获取webshell，控制服务器。

解决建议

联系官方寻求补丁

参考链接
https://avd.aliyun.com/detail/AVD-2021-175765

阿里云评分 10.0

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 漏洞武器化
• 补丁情况 没有补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 服务器失陷
• 全网数量 1000

CWE-ID	漏洞类型
CWE-434	危险类型文件的不加限制上传

Exp相关链接

• https://mp.weixin.qq.com/s?src=11×tamp=1617957866&ver=2997&signature=8k1NWCp1jG4M-QlXwv-InHMIoDSA7Jj8UEtLSZtw5X3QASQBQWL9QcegmqZiiXNeR4NCC-*4DwnZO-XSCVyMD*YdAWv8THP5LmHNB4cauK2egCxHYVLi-DFluSKO1ohz&new=1

- avd.aliyun.com