跳转至

YXCMS 1.4.7任意文件删除(二)

1.影响版本

1.4.7

2.复现过程

漏洞位置还在后台:

在对文章编辑的页面上,发现存在删除已上传的图片的功能 设置抓包,点击删除:

虽然显示的是缩略图不存在,但是通过查看发现已经删除了123.txt这个文件

也是存在任意文件删除