前言
2025年4月21日,Eureka威胁情报平台监测到了一处新的漏洞预警。在发现这一预警后,我们立即展开深入研究,力求全面了解该漏洞的性质、影响范围以及潜在的利用方式。需要明确的是,此次研究和分享基于技术研究和提升安全意识的目的。我们旨在通过对此漏洞的分析,帮助广大安全从业者更好地了解漏洞的成因、存在的风险,以及如何有效进行防范。我们在此郑重声明,本文的读者应当是出于合法、合规的目的来阅读和使用这些信息。任何未经授权使用本文内容对其他系统进行攻击的行为,都与本公众号及作者本人无关。我们强烈谴责任何非法利用安全研究的行为,并呼吁所有安全从业者秉持道德和法律准则,共同维护网络安全环境的健康发展。
提示:以下是本篇文章正文内容,下面案例可供参考
一、影响版本
目前UNACMS最新的版本是14.0.0,通杀所有版本。
cms的官方地址仓库:
https://github.com/unacms/una
cms官网地址:
https://unacms.com
展示一下poc的效果:
二、漏洞细节与poc
详情与漏洞利用请关注公众号Eureka安全:
三、本期粉丝福利+好书推荐
《Python区块链应用开发从入门到精通》
本书全面系统地介绍了Python语言区块链应用工程师所需的基础知识和相关技术,本书内容系统全面,案例丰富详实,既适合想学习Python语言编程和区块链开发的初学者阅读,也适合作为区块链行业从业者、金融科技爱好者的学习用书,还可以作为广大职业院校相关专业的教材参考用书。
作者简介:高野 2017年开始研究区块链,熟悉以太坊、FISCO-BCOS、Aptos、HyperLedger Fabric等主流公链及联盟链平台应用开发,多次参加企业内训及技术分享,线上、线上授课经验丰富。曾先后就职于中国联通、飞创科技(大商所下属子公司)、传智播客,现任京北方区块链架构师,FISCO-BCOS社区MVP ,Aptos技术大使。著有《Go语言区块链应用开发从入门到精通》一书。
辛智勇 2019年开始研究区块链相关技术,熟悉比特币、以太坊等主流技术,长期从事计算机软件的设计和开发工作。曾就职于中兴通讯,历任研发部门经理、技术专家、高级技术顾问。北京市科学技术委员会科技评审专家,生态聚合平台Aptos Eden高级技术顾问。
肖岩 前北大青鸟培训讲师,熟悉Python、Kotlin、Java、JavaScript等多种开发语言。长期关注区块链相关技术,推动区块链、联盟链等相关技术在实际项目中落地使用。
郑一鸣 前京东算法工程师,现独立开发者,擅长Python、Solidity、Rust等编程语言,706 Creators 社区多个 Web3 课程的发起人,包括zkp、Rust、Move 等,长期关注以太坊生态与底层服务开发,热爱社群。
京东链接:https://item.jd.com/14356123.html
当当链接:https://product.dangdang.com/29827519.html
《Power BI商业智能数据分析与可视化》
本书以DAX(数据分析表达式)为核心线索,围绕数据分析和数据可视化,系统全面地介绍了Power BI的核心知识体系和功能,循序渐进,从基础到商业案例实战。
本书的主要内容包括数据分析和数据可视化基础知识,Power Query数据获取、转换与加载,Power BI数据模型,DAX基础和进阶知识、DAX的实践案例、DAX驱动数据可视化交互,仪表板开发实践、仪表板多场景应用,以及AI辅助学习等。
本书体系完整、重点突出、内容新颖翔实、案例贴近实际,适合数据分析师、Power BI分析人员、Excel高级用户,以及想提高数据分析能力的各类人员阅读。
当当:https://product.dangdang.com/29840311.html
京东:https://item.jd.com/14929292.html
🎟️抽奖方式:
4月22日-4月28日 ,公众号内回复“抽奖”参与。
总结
欢迎大家关注EureKaSec,无论是技术交流还是有兴趣加入我们团队,都欢迎随时联络沟通。
文章原创,欢迎转载,请注明文章出处: UNA CMS <= 14.0.0(PHP反序列化)命令执行漏洞.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。
扫一扫
361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
