MetInfo是中国米拓信息技术有限公司的一套使用PHP和Mysql开发的内容管理系统(CMS)。 MetInfo 6.0.0版本中的admin/app/batch/csvup.php文件存在跨站请求伪造漏洞。远程攻击者可借助带有‘../’序列的‘flienamecsv’参数利用该漏洞删除任意文件。
MetInfo是中国米拓信息技术有限公司的一套使用PHP和Mysql开发的内容管理系统(CMS)。 MetInfo 6.0.0版本中的admin/app/batch/csvup.php文件存在跨站请求伪造漏洞。远程攻击者可借助带有‘../’序列的‘flienamecsv’参数利用该漏洞删除任意文件。