YXCMS 1.4.7任意文件删除(二) 1.影响版本¶ 1.4.7 2.复现过程¶ 漏洞位置还在后台: 在对文章编辑的页面上,发现存在删除已上传的图片的功能 设置抓包,点击删除: 虽然显示的是缩略图不存在,但是通过查看发现已经删除了123.txt这个文件 也是存在任意文件删除
设置抓包,点击删除: 