概述
CVE-2021-4462是一个影响Employee Records System version 1.0的严重安全漏洞,CVSS 4.0评分为9.3分,属于严重级别。
漏洞描述
Employee Records System版本1.0存在无限制文件上传漏洞,允许远程未经身份验证的攻击者通过uploadID.php端点上传任意文件。由于应用程序未执行适当的服务器端验证,上传的文件可以被执行。
漏洞详情
- 发布日期:2025年11月10日 23:15
- 最后修改:2025年11月10日 23:15
- 远程利用:是
- 漏洞来源:disclosure@vulncheck.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品数:0
CVSS评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | - | - | - | disclosure@vulncheck.com |
解决方案
实施服务器端文件上传验证以防止任意文件执行:
- 在服务器端验证文件类型
- 限制上传文件类型
- 禁用上传目录中的脚本执行
相关参考资源
CWE分类
CWE-434:无限制上传危险类型文件
CAPEC攻击模式
CAPEC-1:访问未受ACL适当约束的功能
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | Employee Records System版本1.0存在无限制文件上传漏洞… |
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 新增 | CWE | - | CWE-434 |
| 新增 | 参考 | - | https://www.exploit-db.com/exploits/49596 |
| 新增 | 参考 | - | https://www.sourcecodester.com/php/11393/employee-records-system.html |
| 新增 | 参考 | - | https://www.vulncheck.com/advisories/employees-records-system-arbitrary-file-upload-rce |