https://blog.qife122.com/tags/cve-2023-40028/ Recent content in CVE-2023-40028 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 15:37:56 +0800 https://blog.qife122.com/p/ghost-cms-5.59.1-%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ Mon, 12 Jan 2026 15:37:56 +0800 https://blog.qife122.com/p/ghost-cms-5.59.1-%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%88%A9%E7%94%A8/ <h1 id="ghost-cms-5591-任意文件读取漏洞">Ghost CMS 5.59.1 任意文件读取漏洞</h1> <p><strong>发布日期</strong>: 2025.08.28 <strong>提交者</strong>: ibrahimsql <strong>风险等级</strong>: 中等 <strong>利用方式</strong>: 远程 <strong>CVE编号</strong>: CVE-2023-40028 <strong>CWE分类</strong>: CWE-200（信息暴露）</p> <h2 id="漏洞概述">漏洞概述</h2> <p>Ghost CMS 5.59.1之前的版本存在一个安全漏洞，允许经过身份验证的用户上传包含符号链接的文件。攻击者可以利用此漏洞读取主机操作系统上的任意文件。该漏洞存在于文件上传机制中，系统未能正确验证符号链接文件，使得攻击者可以通过符号链接遍历访问目标目录结构之外的文件。</p>