某智慧医养服务平台Uploads存在任意文件上传漏洞(DVB-2025-8968)

免责声明

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品介绍

广西金中软件集团有限公司前身成立于1999年，隶属于广西电信下的三产公司金中信息产业有限公司，是一家集软件开发、网站建设、网络工程、系统集成和维护服务、通信增值业务和ISP运营服务于一体的高科技IT企业。广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。

0x02 漏洞描述

广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞，文件上传漏洞是一种常见的安全漏洞，发生在Web应用程序允许用户上传文件但未对文件类型、大小或内容进行充分验证的情况下。攻击者可能利用此漏洞上传恶意文件（如木马、后门程序或脚本），从而在服务器上执行任意代码、获取系统权限或破坏数据安全。为防止此类漏洞，开发者应严格限制上传文件的类型、大小，并对文件内容进行安全检查，同时将上传文件存储在非可执行目录中。

0x03 复现环境

bod