漏洞标题 从广州邮政上传任何帖子文件 相关制造商 中国邮政集团公司信息技术局 漏洞作者 过路人 提交时间 2016-05-12 23: 00 公共时间 2016-06-27 13: 50 漏洞类型 文件上载会导致任意代码执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 广州邮政便利服务网上营业厅http://www.11185gz.com.cn在邮政机票上注册了一个账号 登录后，可以将配置文件上传到头像上传位置上传任意文件，前后无过滤，直接传输 漏洞证明： Getshell 配置文件中有更敏感的支付宝信息。 外壳已被删除，水表被拒绝 修理计划： 限制文件上传类型 版权声明：请注明出处。居民A @乌云