Niushop单商户V4版任意文件删除-棉花糖会员站

# Niushop单商户V4版任意文件删除

## 漏洞描述

Niushop是一套开源的商城系统，存在任意文件删除漏洞

## 漏洞影响

> Niushop

## FOFA

> title=”Niushop”

## 漏洞分析

漏洞位于：

“`
\app\shop\controller\Upload.php
“`

![1](/static/qingy/Niushop单商户V4版任意文件删除/img/1.png)

“`
\app\shop\controller\common.php
“`

![2](/static/qingy/Niushop单商户V4版任意文件删除/img/2.png)

可以看到由于没有清除参数或过滤所以导致任意文件删除

## 漏洞复现

为了测试，在跟目录下创建a.txt
![3](/static/qingy/Niushop单商户V4版任意文件删除/img/3.png)

####POC：
![4](/static/qingy/Niushop单商户V4版任意文件删除/img/4.png)
返回true即删除成功。

文章版权归作者所有，未经允许请勿转载。

THE END

Niushop单商户V4版任意文件删除