发布时间:2017-10-13
公开时间:N/A
漏洞类型:文件操作
危害等级:低
漏洞编号:xianzhi-2017-10-37953353
测试版本:N/A
漏洞详情
ueditor的上传逻辑部分 有一个controller.php来解析配置并加载对应上传模块
/php/controller.php
date_default_timezone_set("Asia/chongqing");
error_reporting(E_ERROR);
header("Content-Type: text/html; charset=utf-8");
$CONFIG = json_decode(preg_replace("/\/*[\s\S]+?*\//", "", file_get_contents("config.json")), true);
$action = $_GET['action'];
switch ($action) {
case 'config':
$result = json_encode($CONFIG);
break;
/ 上传图片 /
case 'uploadimage':
/ 上传涂鸦 /
case 'uploadscrawl':
/ 上传视频 /
case 'uploadvideo':
/ 上传文件 /
case 'uploadfi