[转载]SiteDepth CMS constants.php远程文件包含漏洞
信息来源:绿盟科技发布日期:2006-07-20
更新日期:2006-07-21
受影响系统:
SiteDepth SiteDepth <= 3.01
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19094
SiteDepth是专门用于管理付费站点的内容管理系统。
SiteDepth处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。
由于没有正确的验证对SiteDepth中constants.php文件的SD_DIR参数的输入,攻击者可以包含任意外部资源的文件,导致执行任意脚本代码。
<*来源:David "Aesthetico" Vieira-Kurz ([url]http://www.majorsecurity.de/[/url])
链接:[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115341271404733&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 将register_globals设置为Off。
厂商补丁:
SiteDepth
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
[url]http://sitedepth.com/index.php[/url]
页:
[1]