Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00487
- Title: 某單位 維運環境存在無認證任意檔案上傳導致 PHP 遠端程式碼執行,並暴露多客戶資料庫、SQL dump、.git 與管理後台
- Introduction: 維運環境存在無認證檔案上傳缺陷,可直接上傳並執行 PHP,已 live 驗證可取得系統命令執行權限。進一步確認此環境為多租戶共享維運主機,承載多個客戶站點與管理後台,並同時暴露多個 .git、SQL dump、CKFinder、付款回呼驗證缺失與跨客戶資料庫存取風險。
處理狀態
目前狀態
審核未通過
Last Update : 2026/04/07
-
新提交
-
審核未通過
-
未通報
-
未修補
-
未複測
-
公開
處理歷程
- 2026/04/02 14:16:41 : 新提交 (由 罐頭 更新此狀態)
- 2026/04/07 22:44:00 : 審核未通過 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2026-00487
- 通報者:guan4tou2 (罐頭)
- 風險:嚴重
- 類型:遠端命令執行 (Remote Code Execution)
留言討論
登入後留言