Nucleus CMS 多个远程文件包含漏洞

漏洞信息详情

Nucleus CMS 多个远程文件包含漏洞

• CNNVD编号：CNNVD-200606-442
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-3136
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2006-06-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-07-12
  
• 厂        商：
  
  nucleus_group
• 漏洞来源：
  sweet-devil is cre…

**有争议** Nucleus 3.23存在多个PHP远程文件包含漏洞。远程攻击者可以借助(1) path/action.php中, 以及对包括 (2) media.php, (3) /xmlrpc/server.php和(4) /xmlrpc/api_metaweblog.inc.php的path/nucleus中的文件的DIR_LIBS参数中的URL，执行任意PHP代码。 注：此漏洞类似于CVE-2006-2583。注：第三方对此提出反驳，声称DIR_LIBS 参数在被使用前已在include文件中定义。

来源: BID

名称: 18475

链接:http://www.securityfocus.com/bid/18475

来源: BUGTRAQ

名称: 20060617 Re: file include exploits in nucleus 3.23

链接:http://www.securityfocus.com/archive/1/archive/1/437986/100/200/threaded

来源: BUGTRAQ

名称: 20060616 file include exploits in nucleus 3.23

链接:http://www.securityfocus.com/archive/1/archive/1/437423/100/0/threaded

来源: VUPEN

名称: ADV-2006-2408

链接:http://www.frsirt.com/english/advisories/2006/2408

来源: SECTRACK

名称: 1016325

链接:http://securitytracker.com/id?1016325

来源: OSVDB

名称: 27502

链接:http://www.osvdb.org/27502

来源: SREASON

名称: 1120

链接:http://securityreason.com/securityalert/1120