发布日期：2026-02-08
更新日期：2026-05-06

受影响系统：

yshopmall yshopmall <= 1.9.1

描述：

---

CVE(CAN) ID: CVE-2026-2146

yshopmall是guchengwuyue个人开发者的一个商城系统。
yshopmall 1.9.1及之前版本存在危险类型文件不受限上传漏洞，该漏洞源于电商系统的头像上传功能未对上传文件的类型、后缀、内容进行任何校验，攻击者可利用该漏洞通过/api/users/updateAvatar接口上传任意文件，由于系统未对上传目录设置脚本执行限制，攻击者可访问该文件并执行任意系统命令，控制服务器，窃取数据库信息或篡改网站内容。

<**>

建议：

---

厂商补丁：

yshopmall
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/guchengwuyue/yshopmall/

浏览次数：43
严重程度：0（网友投票）