An issue was discovered in SDCMS V1.7. In the \app\admin\controller\themecontroller.php file, the check_bad() function's filtering is not strict, resulting in PHP code execution. This occurs because some dangerous PHP functions (such as "eval") are blocked but others (such as "system") are not, and because ".php" is blocked but ".PHP" is not blocked.
Se ha descubierto un problema en SDCMS en su versión V1.7. En el archivo \app\admin\controller\themecontroller.php, el filtrado de la función check_bad() no es estricto, lo que resulta en la ejecución de código PHP. Esto ocurre porque algunas funciones PHP peligrosas (p.ej., "eval") están bloqueadas mientras que otros (p.ej., "system") no, y debido a que ".php" está bloqueado pero ".PHP" no lo está.