CVE-2026-5472ProjectsAndPrograms School Management System在特定提交版本之前存在严重的安全漏洞。该漏洞源于/admin_panel/settings.php文件中的Profile Picture Handler组件未正确处理用户输入。由于系统对“File”参数缺乏严格的类型和内容验证,导致攻击者能够上传任意恶意文件。鉴于该漏洞可通过网络远程利用且仅需低权限,攻击者可通过上传Webshell获取服务器控制权,对系统的机密性、完整性和可用性造成威胁。
该漏洞属于典型的任意文件上传漏洞,其根本原因在于服务器端缺乏严格的文件类型验证机制。在ProjectsAndPrograms学校管理系统的后台设置功能中,Profile Picture Handler组件负责处理用户头像上传。然而,/admin_panel/settings.php文件仅依赖前端或简单的后端检查,未对上传文件的扩展名、MIME类型及文件内容进行有效的双重验证。攻击者可以通过构造恶意HTTP POST请求,将“File”参数的值替换为带有恶意代码的PHP脚本。由于系统未重命名文件或限制可执行目录,该文件会被直接保留在Web根目录下。攻击者随后只需通过浏览器访问该文件的URL,即可触发Web服务器解析PHP代码,从而在服务器端执行任意系统命令。CVSS向量表明攻击复杂度低且无需用户交互,结合已公开的PoC,该漏洞极易被大规模利用,导致服务器被完全控制。