安全警报:LightPicture图床系统存在高危文件上传漏洞
攻击者利用LightPicture图床系统的设计缺陷,成功绕过文件类型检测机制,批量上传了恶意PHP脚本文件。经分析发现,该系统在上传接口中未实施有效的文件格式验证,导致任意文件类型均可被上传至服务器。而且攻击者使用的是管理员的密钥进行上传的(我关闭了游客上传)。
漏洞复现材料:
点击下载攻击样本文件
解决方案:
- 紧急迁移至更安全的EasyImages2.0图床系统,新系统具备:
- 严格的白名单文件类型校验
- 动态内容检测机制
- 随机重命名上传文件
- 由于URL重构需要,历史图片链接正在逐步切换
紧急建议:
- 仍在使用LightPicture的朋友们请立即:
- 停止对外服务
- 审查服务器上传目录是否存在异常文件
- 参考我们的迁移到别的图床系统
- 排查服务器日志中的POST请求记录
该漏洞极可能导致远程代码执行(RCE),建议所有受影响的朋友们立即采取行动!
也可以试试这个图床系统(有胆): OneImgBed 是一个只使用一个php文件的自托管图床系统,支持多文件上传、粘贴上传、图片管理等功能,具有“良好”的安全性和用户体验。适合个人偷偷省懒使用。
