一键检测 PbootCMS 历史漏洞

文章预览

PbootCMS 是全新内核且永久开源免费的PHP企业网站开发建设管理系统，是一套高效、简洁、 强悍的可免费商用的 PHP CMS 源码，能够满足各类企业网站开发建设的需要。 目前 GiiHub 更新至 3.2.10 版，官网下载版为 3.2.5，官方地址： https://www.pbootcms.com/ 信安之路 POC 管理平台收录了其 7 个历史漏洞，xazlscan 已经可以一键检测，工具地址： https://github.com/myh0st/xazlscan/ 测试如图： 由于使用该系统的资产很多，可以参考管理后台的标题来判断系统版本，如图： 根据版本从早到晚进行梳理其目前还存在未修复完成的漏洞列表如下： 一、版本小于 1.2.1 存在两个 SQL 注入漏洞： 1、搜索模块存在SQL注入漏洞 2、ext_price 参数存在 SQL 注入漏洞 二、3.0.4 版本 该系统 ParserController.php 文件存在命令执行漏洞，攻击者可利用该漏洞执行任意 PHP 代码，获得服务器权限，漏洞编 ………………………………