该文章介绍了基于ThinkPHP二次开发的CMS存在的三个文件上传漏洞，其中第一个漏洞可通过js文件接口进行未授权文件上传，攻击者可通过抓包获取shell。该漏洞存在于CMS文件路径中，可通过请求路径参数访问。