Monstra CMS 3.0.4-远程代码执行漏洞

漏洞描述

Monstra是一个基于XML的,现代化和轻量级的内容管理系统.Monstra是GNU GENERAL PUBLIC LICENSE v3许可的开源项目。Monstra为插件、主题和核心开发人员提供了令人惊叹的API。Monstra允许为您的站点创建多个管理员,编辑者和用户。Monstra是GNU GENERAL PUBLIC LICENSE v3授权的开放源代码项目,旨在让世界免费。

Monstra CMS 3.0.4允许通过upload_file请求远程执行.zip文件,该文件会自动提取包含.php文件。

解决方案

1.目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://monstra.org/

2.购买深信服下一代防火墙的用户,可以开启WAF防御模块,可轻松防御此类漏洞。