Xoops Custom Avatar远程任意PHP文件上传漏洞

漏洞信息详情

Xoops Custom Avatar远程任意PHP文件上传漏洞

• CNNVD编号：CNNVD-200505-031
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-0743
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-05-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  xoops
• 漏洞来源：
  Discovery of this …

XOOPS 2.0.9.2以及较早版本的custom avatar上传功能(uploader.php)允许远程攻击者上传任意PHP脚本，并未对其文件扩展名过滤。

来源: www.xoops.org

链接:http://www.xoops.org/modules/news/article.php?storyid=2114

来源: BID

名称: 12754

链接:http://www.securityfocus.com/bid/12754

来源: BUGTRAQ

名称: 20050308 [SCAN Associates Security Advisory] xoops 2.0.9.2 and below weak file extension validation

链接:http://www.securityfocus.com/archive/1/392626

来源: SECUNIA

名称: 14520

链接:http://secunia.com/advisories/14520

来源: XF

名称: xoops-uploader-file-upload(19634)

链接:http://xforce.iss.net/xforce/xfdb/19634