CVE-2024-58282CVE-2024-58282是Serendipity 2.5.0版本中的一个高危远程代码执行漏洞。该漏洞允许已认证的管理员通过媒体上传功能上传恶意PHP文件,从而在Web服务器上执行任意系统命令。Serendipity是一款流行的开源博客平台,其媒体管理功能缺乏足够的文件类型验证和安全检查。攻击者只需获取管理员账户权限,即可利用此漏洞绕过服务器安全限制,实现对目标系统的完全控制。此漏洞的CVSS评分为7.2,属于高危级别,对系统的机密性、完整性和可用性均造成严重影响。
该漏洞存在于Serendipity 2.5.0的媒体上传功能中。攻击者以管理员身份登录后,可通过博客后台的媒体上传接口上传包含恶意PHP代码的文件。由于系统未对上传文件的扩展名和内容进行严格过滤,攻击者可以上传.php后缀的WebShell文件。上传成功后,攻击者通过访问该文件路径即可触发恶意代码执行,从而在服务器上执行任意系统命令。攻击者通常会创建一个包含system()或exec()函数的PHP文件,通过GET/POST参数接收并执行系统命令。此漏洞的利用需要管理员级别的高权限,但无需用户交互即可完成攻击。