视频播客SupeV 1.0.1 多个安全漏洞

SupeV 是discuz旗下视频播客产品。 漏洞文件：api目录下test.php 直接看代码 $str=filegetcontents $thumb ;//首先第18行用filegetcontents 读取$thumb参数的文件内容，注意这里也可以读远程文件， $path = ".".getthumbpath $vid ;//第19行获取路径参数 $vid $optbig = array "targetfile" = $path.".jpg", "attach" = $attach'attach', "ext" = $attach'extension', "ratio" = fals...