## 前言
OKLite v1.2.25 存在任意文件删除漏洞
## 漏洞简介
Ethan发现OKLite v1.2.25 存在任意文件删除漏洞(需要登录后台)
## 漏洞危害
后台删除文件时抓包修改`title`参数可以直接删除网站任意文件
## 影响范围
### 产品
> OKLite
### 版本
> OKLite v1.2.25 版本
### 组件
> OKLite
## 漏洞复现
在主目录下创建一个index.txt用来测试
登录后台,在设置->风格管理
点击文件管理
随便删除一个文件,点击抓包,修改title参数为../../test.txt
发送请求,主目录下的test.txt已被删除
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容