DreamAccount ‘index.php’远程文件包含漏洞

漏洞信息详情

DreamAccount ‘index.php’远程文件包含漏洞

• CNNVD编号：CNNVD-200612-011
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-6232
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2006-06-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-12-05
  
• 厂        商：
  
  dreamcost
• 漏洞来源：
  CrAsh_oVeR_rIdE KA…

DreamAccount是一款基于PHP的成员管理程序。

DreamAccount实现上存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。

DreamAccount的/admin/index.php脚本没有对path变量做充分地检查过滤，远程攻击者可能利用此漏洞使脚本包含远程服务器上的代码执行。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://dreamcost.com/

来源: XF

名称: dreamaccount-index-file-include(27402)

链接:http://xforce.iss.net/xforce/xfdb/27402

来源: BID

名称: 18579

链接:http://www.securityfocus.com/bid/18579

来源: BUGTRAQ

名称: 20060623 DREAMACCOUNT V3.1 Remote Command Execution Exploit

链接:http://www.securityfocus.com/archive/1/archive/1/438169/100/100/threaded

来源: OSVDB

名称: 27597

链接:http://www.osvdb.org/27597

来源: SECUNIA

名称: 20468

链接:http://secunia.com/advisories/20468

来源: SREASON

名称: 1949

链接:http://securityreason.com/securityalert/1949