2024年9月3日,网上更新披露了一个SparkShop存在任意文件上传漏洞(CVE-2024-6730)。
漏洞风险: 该漏洞影响文件/api/Common/uploadFile的某些未知处理过程。由于参数文件操作不当,导致上传不受限制,攻击者可构造恶意请求上传webshell,执行任意命令。
风险等级:严重。
影响范围:
SparkShop <=1.1.6
修复建议:
建议您更新当前系统或软件至最新版,完成漏洞的修复。
进行安全更新方法:
1. https://github.com/J1rrY-learn/learn/blob/main/sparkshop_upload.md
2. https://vuldb.com/?ctiid.271403
3. https://vuldb.com/?id.271403
4. https://vuldb.com/?submit.374047
