VisualShapers ezContents多个模块文件包含漏洞

漏洞信息详情

VisualShapers ezContents多个模块文件包含漏洞

• CNNVD编号：CNNVD-200403-018
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0132
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-02-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-28
  
• 厂        商：
  
  visualshapers
• 漏洞来源：
  Cedric Cochin※ cco…

ezContents是一款开放源代码内容管理系统。
ezContents包含的多个模块对用户提交输入缺少充分过滤，远程攻击者可以利用这些漏洞进行SQL注入攻击，修改数据库及获得敏感数据。
问题是包含的\’\’db.php\’\’及\’\’archivednews.php\’\’脚本对用户提交的\’\’GLOBALS[rootdp]\’\’和\’\’GLOBALS[language_home]\’\’变量数据缺少充分过滤，提交指定远程服务器上的文件作为变量数据，可能以WEB进程权限执行任意代码。

厂商补丁：
VisualShapers
————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

VisualShapers Upgrade ezContents203.tar.gz

http://www.ezcontentsdev.org/ezContents203.tar.gz” target=”_blank”>
http://www.ezcontentsdev.org/ezContents203.tar.gz

来源: BUGTRAQ
名称: 20040210 PHP Code Injection Vulnerabilities in ezContents 2.0.2 and prior
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107651585921958&w=2

来源: XF
名称: ezcontents-multiple-file-include(15135)
链接:http://xforce.iss.net/xforce/xfdb/15135