mojoPortal 接口imagehandler任意文件读取漏洞(CVE-2025-28367)

免责声明

本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规，并取得目标系统的明确授权。
对于因不当使用本文信息而造成的任何直接或间接后果，作者概不负责。若您发现本文内容涉及侵权或不当信息，请及时联系我们，我们将立即核实并采取必要措施。
推荐一个圈子，专注漏洞情报分享：https://pc.fenchuan8.com/#/index?forum=101997&yqm=DHL4E

一：产品介绍

mojoPortal 是一款基于 .NET 平台开发的开源内容管理系统（CMS）和 Web 应用框架，适用于构建各类网站、社区门户和在线业务平台。该系统采用模块化设计，提供多站点管理、角色权限控制、表单生成器、博客、论坛等丰富功能，并支持 SQL Server 和 MySQL 等多种数据库。mojoPortal 具有高度可扩展性，开发者可通过自定义模块和主题灵活适配企业、教育机构及个人用户的建站需求，其开源特性允许用户自主修改代码以满足特定业务场景。