Kayako eSupport ‘autoclose.php’ 远程文件包含漏洞

漏洞信息详情

Kayako eSupport ‘autoclose.php’ 远程文件包含漏洞

• CNNVD编号：CNNVD-200608-092
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2006-4011
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2006-08-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-09
  
• 厂        商：
  
  kayako
• 漏洞来源：
  beford xbefordx@gm…

Kayako eSupport是基于Web的后台技术支应用程序。

Kayako eSupport对用户请求的处理上存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。

Kayako eSupport的esupport/admin/autoclose.php脚本没有正确的过滤subd变量参数的输入，允许攻击者通过包含本地或外部资源导致执行任意代码。

相关的漏洞代码如下：

require_once $subd . \”functions.php\”;

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.kayako.com/

来源: BID

名称: 19315

链接:http://www.securityfocus.com/bid/19315

来源: SECUNIA

名称: 21330

链接:http://secunia.com/advisories/21330

来源: MILW0RM

名称: 2115

链接:http://milw0rm.com/exploits/2115

来源: XF

名称: esupport-autoclose-file-include(28199)

链接:http://xforce.iss.net/xforce/xfdb/28199