Irokez CMS多个远程文件包含漏洞

漏洞信息详情

Irokez CMS多个远程文件包含漏洞

• CNNVD编号：CNNVD-200612-574
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-6771
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2006-12-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-01-02
  
• 厂        商：
  
  irokez
• 漏洞来源：
  nuffsaid is credit…

Irokez CMS存在多个PHP远程文件包含漏洞，在启用register_globals的情况下，远程攻击者可以通过(a)scripts/gallery.scr.php中(1)GLOBALS[PTH][func]参数； (b)scripts/xtextarea.scr.php中(2)GLOBALS[PTH][spaw]参数；和scripts/中的(c)sitemap.scr.php，(d)news.scr.php，(e)polls.scr.php，(f)rss.scr.php，(g)search.scr.php，以及在functions/的(h)form.fun.php，(i)general.func.php，(j)groups.func.php，(k)js.func.php，(l)sections.func.php和(m)users.func.php中的(3)GLOBALS[PTH][classes]参数中的URL执行任意PHP代码。

来源: BID

名称: 21769

链接:http://www.securityfocus.com/bid/21769

来源: VUPEN

名称: ADV-2006-5178

链接:http://www.frsirt.com/english/advisories/2006/5178

来源: SECUNIA

名称: 23497

链接:http://secunia.com/advisories/23497

来源: MILW0RM

名称: 3007

链接:http://milw0rm.com/exploits/3007