漏洞信息详情
Contenido CMS 多个PHP远程文件包含漏洞
- CNNVD编号:CNNVD-200806-415 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2008-2912
- 漏洞类型: 代码注入
- 发布时间: 2008-06-30
- 威胁类型: 远程
- 更新时间: 2009-04-14
- 厂 商: contenido
- 漏洞来源: RoMaNcYxHaCkEr
-
漏洞简介
Contenido CMS 4.8.4存在多个PHP远程文件包含漏洞。远程攻击者通过如下几种参数的一个URL以执行任意PHP代码: (1)对 (a) contenido/backend_search.php的contenido_path参数; (2)对(b) move_articles.php, (c) move_old_stats.php, (d) optimize_database.php, (e) run_newsletter_job.php, (f) send_reminder.php, (g) session_cleanup.php,和 (h) contenido/cronjobs/中的setfrontenduserstate.php in , 以及 (i) includes/include.newsletter_jobs_subnav.php 还有 (j) contenido/中的plugins/content_allocation/includes/include.right_top.php的 cfg[path][contenido]参数;(3) 对(k) includes/include.newsletter_jobs_subnav.php和(l)contenido/中plugins/content_allocation/includes/include.right_top.php的cfg[path][templates]参数 ; 以及 (4) 对(m) plugins/content_allocation/includes/include.right_top.php 和 (n)contenido/下的 contenido/includes/include.newsletter_jobs_subnav.php的cfg[templates][right_top_blank]参数。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Contenido Contenido 4.6
Contenido Contenido_4.8.6.zip
http://www.contenido.org/en/upload/versionen/Contenido_4.8.6.zip
Contenido Contenido 4.6.1
Contenido Contenido_4.8.6.zip
http://www.contenido.org/en/upload/versionen/Contenido_4.8.6.zip
Contenido Contenido 4.6.4
Contenido Contenido_4.8.6.zip
http://www.contenido.org/en/upload/versionen/Contenido_4.8.6.zip
Contenido Contenido 4.8.4
Contenido Contenido_4.8.6.zip
http://www.contenido.org/en/upload/versionen/Contenido_4.8.6.zip
参考网址
来源: BID
名称: 29719
链接:http://www.securityfocus.com/bid/29719
来源: XF
名称: contenido-multiple-parameters-file-include(43103)
链接:http://xforce.iss.net/xforce/xfdb/43103
来源: MILW0RM
名称: 5810
链接:http://www.milw0rm.com/exploits/5810
来源: SECUNIA
名称: 30683
链接:http://secunia.com/advisories/30683
受影响实体
- Contenido Contenido_cms:4.8.4<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...