漏洞概述
在 code-projects 开发的 Online Examination System 1.0 系统中发现一个安全漏洞,攻击者可利用该漏洞通过远程方式向 /admin_pic.php 文件执行不受限制的文件上传操作,可能导致远程代码执行等严重后果。目前该漏洞的利用代码已公开披露。
漏洞详情
- CVE 编号:CVE-2026-1423
- 漏洞类型:任意文件上传(CWE-434)、权限控制不当(CWE-284)
- CVSS 评分:CVSS v3.1 基础分 6.3(中危),CVSS v4.0 基础分 5.3(中危)
- 影响版本:code-projects Online Examination System 1.0
影响范围
所有部署了 code-projects Online Examination System 1.0 版本的系统均受影响,特别是未对文件上传功能进行安全加固的实例。
风险分析
攻击者在拥有低权限账户的情况下,可通过网络远程上传恶意文件(如 PHP Webshell),从而实现远程代码执行、服务器控制、数据泄露或篡改等攻击行为。由于漏洞利用复杂度低且无需用户交互,风险较高。
修复建议
- 建议立即停止使用该版本系统,或联系项目维护方获取安全更新。目前官方尚未发布正式补丁。
- 临时缓解措施包括:限制 /admin_pic.php 的访问权限、对上传文件类型和内容进行严格校验、禁止上传目录执行脚本、部署 Web 应用防火墙(WAF)规则拦截可疑上传请求。
