F2blog XMLRPC 上传任意文件漏洞

xmlrpc.php， 影响：可上传任意文件到服务器。 原理：gethttprawpostdata是获取最原始的传递过来的数据，也是说不会因为PHP环境的magic为on的影响。 而他在checkuserpw的时候，并没有过滤，结合后门的上传没有做后缀判断，所有可以直接导致上传任意文件到服务器。 F2blog-v1.2build03.01full function metaWeblognewMediaObject $values //2008-05-27 edit by Neeao global $settingInfo,$DMC, $DBPrefix,$defualtcategoryi...