漏洞发现日志漏洞发现日志
日期: 2023年10月1日时间: 14:30记录者: 薛谔目标网站: 实验室综合管理与服务平台-登录界面
https://mdsysgl.mdit.edu.cn/sysgl/
1. 漏洞发现概述
漏洞类型:
KindEditor 文件上传漏洞
默认管理员账户漏洞
漏洞影响:
KindEditor漏洞允许上传指定类型的文件,可能导致远程代码执行和数据泄露。
默认管理员账户漏洞允许攻击者使用默认凭据登录,可能导致未授权访问和数据泄露。
漏洞严重性: 高(CVSS评分待定)
2. 漏洞发现过程
测试环境: 使用浏览器进行手动测试。
发现方法:
通过访问 KindEditor 的文件上传功能进行测试。
直接访问登录页面并尝试使用默认凭据进行登录。
3. 漏洞详细信息3.1 KindEditor 文件上传漏洞
测试步骤:
14:35: 访问登录页面 实验室综合管理与服务平台-登录界面。
14:36: 登录成功后,访问文件上传功能测试地址 KindEditor 示例。
14:37: 尝试上传指定类型的文件(如 .doc, .docx, ...
