Oblog多用户博客程序attachment.asp页面越权漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

oBlog多用户博客程序是目前国内应用最广泛的博客程序。OBLOG程序已经广泛应用在国内数万家网站,覆盖国内上千万上网人群,并经过上千家知名网站的严格检测,被称为国内博客建站第一程序oBlog多用户博客程序”是目前国内应用最广泛的博客程序。 漏洞文件:attachment.asp 1. <!-- #include file= inc/inc_syssite.asp --> 2. <% 3. Dim Path,rs,FileID,ShowDownErr,uid,file_ext 4. Dim SQL 5. Path = Trim(Request( path )) 6. FileID = Trim(Request( FileID )) 7. If FileID = And Path = Then 8. Response.Write 参数不足 9. Response.End 10. End If 11. If CheckDownLoad Then 12. If Path = Then 13. set rs = Server.CreateObject( ADODB.RecordSet ) 14. link_database 15. SQL = ( select file_path,userid,file_ext,ViewNum FROM oblog_upfile Where FileID = CLng(FileID)) 16. rs.open sql,conn,1,3 17. If Not rs.Eof Then 18. uid = rs(1) 19. file_ext = rs(2) 20. rs( ViewNum ) = rs( ViewNum ) + 1 21. rs.Update 22. downloadFile Server.MapPath(rs(0)),0 23. Else 24. Response.Status=404 25. Response.Write 该附件不存在! 26. End If 27. rs.Close 28. Set rs = Nothing 29. Else 30. If true_domain = 1 Then 31. downloadFile...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息