Turnkey Web Tools PHP Live Helper ‘initiate.php’目录遍历漏洞

漏洞信息详情

Turnkey Web Tools PHP Live Helper ‘initiate.php’目录遍历漏洞

• CNNVD编号：CNNVD-200603-442
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-1478
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2006-03-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-03-29
  
• 厂        商：
  
  turnkey_web_tools
• 漏洞来源：

在Turnkey Web Tools PHP Live Helper 1.8，和可能后续版本的(1) initiate.php和(2)可能其它PHP脚本中存在目录遍历漏洞，远程经过身份验证的用户可通过language cookie中的目录遍历序列来包含和执行任意本地文件，如在用于userS.php中的gl_session cookie上载PHP代码中所示那样，引起代码被存于error.log中，然后被initiate.php所包含。

来源: MISC

链接:http://www.turnkeywebtools.com/forum/showthread.php?p=10415

来源: MISC

链接:http://www.worlddefacers.de/Public/WD-TMPLH.txt

来源: BUGTRAQ

名称: 20060327 PHPLiveHelper 1.8 remote command execution (include) Xploit (perl)

链接:http://www.securityfocus.com/archive/1/archive/1/428976/100/0/threaded

来源: XF

名称: phplivehelper-abspath-file-include(25489)

链接:http://xforce.iss.net/xforce/xfdb/25489

来源: SREASON

名称: 641

链接:http://securityreason.com/securityalert/641

来源: SECUNIA

名称: 19428

链接:http://secunia.com/advisories/19428