漏洞信息详情
vBulletin Calendar远程执行任意命令漏洞
- CNNVD编号:CNNVD-200212-508
- 危害等级: 高危
![图片[1]-vBulletin Calendar远程执行任意命令漏洞-一一网](https://www.proyy.com/skycj/data/images/2021-04-26/bbdd3e8868c10d22861b2275d65f4500.png)
- CVE编号:
CVE-2002-2157
- 漏洞类型:
输入验证
- 发布时间:
2002-09-24
- 威胁类型:
远程
- 更新时间:
2006-01-31
- 厂 商:
- 漏洞来源:
gosper.※ gosper@ni… -
漏洞简介
vBulletin Calendar是一款基于WEB的日历程序。
vBulletin Calendar对用户输入缺少正确过滤,远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意命令。
vBulletin Calendar中的calendar.php脚本对用户提交给comma参数的值缺少过滤,攻击者提交特殊字符并追加任意系统命令,可能以WEB进程的权限(一般是nobody)在系统上执行任意命令。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在漏洞修补之前,暂时停止calendar.php程序的使用。
厂商补丁:
VBulletin
———
目前厂商已经发布了升级补丁以修复这个安全问题,请升级vBulletin到2.2.8版本:
http://www.vbulletin.com/” target=”_blank”>
http://www.vbulletin.com/
参考网址
http://www.iss.net/security_center/static/10176.php※http://www.securiteam.com/exploits/5QP0P158AC.html※http://www.securityfocus.com/bid/5820※http://www.kyberna.com/※http://www.securityfocus.com/bid/5820※http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1660※http://www.securiteam.com/exploits/5QP0P158AC.html※http://www.vbulletin.com/
来源:NSFOCUS
名称:3579
链接:http://www.nsfocus.net/vulndb/3579
![[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/4d3cf227a85d7e79f5d6b4efb6bde3e8.jpg)
![[桜井宁宁] 爆乳奶牛少女cos写真-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/d40483e126fcf567894e89c65eaca655.jpg)
