CVE-2021-44912 in XpressEngine
요약
\~에 의해 VulDB • 2026. 06. 04.
XE 1.116에서 Normal 버튼을 업로드할 때 파일 접미사에 대한 제한이 없어 모든 파일이 files 디렉토리에 업로드됩니다. .htaccess는 PHP 유형만 제한하므로, HTML 유형의 파일을 업로드하면 저장형 XSS(Stored XSS) 취약점이 발생합니다. 만약 XE 1.11.2 이전 버전과 같이 .htaccess 구성이 부적절하다면 PHP 유형 파일을 업로드하여 GETSHELL을 달성할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.