# Niushop单商户V4版任意文件删除
## 漏洞描述
Niushop是一套开源的商城系统,存在任意文件删除漏洞
## 漏洞影响
> Niushop
## FOFA
> title=”Niushop”
## 漏洞分析
漏洞位于:
“`
\app\shop\controller\Upload.php
“`
![1](/static/qingy/Niushop单商户V4版任意文件删除/img/1.png)
“`
\app\shop\controller\common.php
“`
![2](/static/qingy/Niushop单商户V4版任意文件删除/img/2.png)
可以看到由于没有清除参数或过滤所以导致任意文件删除
## 漏洞复现
为了测试,在跟目录下创建a.txt
![3](/static/qingy/Niushop单商户V4版任意文件删除/img/3.png)
####POC:
![4](/static/qingy/Niushop单商户V4版任意文件删除/img/4.png)
返回true即删除成功。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容