漏洞信息详情
PHP-Nuke Modpath参数文件包含漏洞
- CNNVD编号:CNNVD-200412-315 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2004-2018
- 漏洞类型: 输入验证
- 发布时间: 2004-05-17
- 威胁类型: 远程
- 更新时间: 2006-09-28
- 厂 商: francisco_burzi
- 漏洞来源: Janek Vind waraxe※...
-
漏洞简介
PHP-Nuke是一个广为流行的网站创建和管理工具,它可以使用很多数据库软件作为后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。 PHP-Nuke存在文件包含问题,远程攻击者可以利用这个漏洞以WEB进程权限查看系统任意文件内容。 PHP-Nuke对用户提交给\'\'modpath\'\'参数的数据缺少过滤,攻击者可以指定远程服务器上的恶意文件作为包含文件,可以以WEB进程权限执行恶意文件中的任意代码。
漏洞公告
厂商补丁: Francisco Burzi --------------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpnuke.org
参考网址
来源: XF 名称: phpnuke-modpath-file-include(16218) 链接:http://xforce.iss.net/xforce/xfdb/16218 来源: www.waraxe.us 链接:http://www.waraxe.us/index.php?modname=sa&id=29 来源: BID 名称: 10365 链接:http://www.securityfocus.com/bid/10365 来源: OSVDB 名称: 6222 链接:http://www.osvdb.org/6222 来源: SECUNIA 名称: 11625 链接:http://secunia.com/advisories/11625 来源: BUGTRAQ 名称: 20040517 [waraxe-2004-SA#029 - Possible remote file inclusion in PhpNuke 6.x - 7.3] 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108482888621896&w=2 来源: FULLDISC 名称: 20040517 [waraxe-2004-SA#029 - Possible remote file inclusion in PhpNuke 6.x - 7.3] 链接:http://archives.neohapsis.com/archives/fulldisclosure/2004-05/0870.html 来源:NSFOCUS 名称:6458 链接:http://www.nsfocus.net/vulndb/6458
受影响实体
- Francisco_burzi Php-Nuke:6.0<!--2000-1-1-->
- Francisco_burzi Php-Nuke:6.5<!--2000-1-1-->
- Francisco_burzi Php-Nuke:6.5_beta1<!--2000-1-1-->
- Francisco_burzi Php-Nuke:7.3<!--2000-1-1-->
- Francisco_burzi Php-Nuke:7.2<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...