Logahead是一款开源的blog软件,具有tagging、拖放等功能。 Logahead的extras/plugins/widged/_widged.php脚本中存在认证绕过漏洞,未经认证的攻击者向服务器上传文件。此外,该脚本还没有验证上传文件的扩展名,攻击者上传有任意扩展名(如.php)的文件并在服务器上执行任意PHP代码。
Logahead是一款开源的blog软件,具有tagging、拖放等功能。 Logahead的extras/plugins/widged/_widged.php脚本中存在认证绕过漏洞,未经认证的攻击者向服务器上传文件。此外,该脚本还没有验证上传文件的扩展名,攻击者上传有任意扩展名(如.php)的文件并在服务器上执行任意PHP代码。