发布日期：2020-05-20
更新日期：2020-08-04

受影响系统：

Microweber Microweber 1.1.18

描述：

---

CVE(CAN) ID: CVE-2020-13241

Microweber是美国Microweber社区的一套可提供拖拽功能的网上商店管理系统。该系统包括添加商品、图片等模块。
Microweber 1.1.18版本中的admin/view：modules/load_module：users＃edit-user=1存在无限制文件上传漏洞。该漏洞源于其未确认文件扩展名(与编辑用户屏幕上的添加图像选项一起使用)是否与图像文件对应。攻击者可利用该漏洞上传恶意文件会使网站遭受跨站脚本执行攻击。

<**>

建议：

---

厂商补丁：

Microweber
----------
目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://microweber.com/
参考网站：https://gist.github.com/virendratiwari03/0af29841fdf27207eb3abc8f28d326f3

浏览次数：824
严重程度：0（网友投票）