*本文中涉及到的相关漏洞已报送廠商并得到修复本文仅限技术研究与讨论，严禁用于非法用途否则产生的一切后果自行承担。

昨日乌云漏洞平台公开了一个ESPCMS的注入漏洞，阿里云计算安全攻防对抗团队的小伙伴第一时间对漏洞做了一个影响评估没想到需要登录到后台才可以注入，怪不得连厂商都主動忽略了该漏洞一定是觉得利用成本比较高，难以造成更大的危害

抱着实事求是的心态，我们在测试环境搭建了一个ESPCMS尝试进行复现從漏洞提交者的细节中可以看到，漏洞位于adminsoft\control\/adminsoft/）