EZOnlineGallery 多个目录遍历漏洞

漏洞信息详情

EZOnlineGallery 多个目录遍历漏洞

• CNNVD编号：CNNVD-200703-123
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-7103
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2007-03-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-03-07
  
• 厂        商：
  
  ezonlinegallery
• 漏洞来源：
  Mayhemic Labs disc…

EZOnlineGallery 1.3及之前版本和可能1.3.2 Beta之前的其他版本中存在多个目录遍历漏洞。远程攻击者可以(1)借助对(a) ezgallery.php的show_album操作中的相册参数中的\”..\”，决定目录的存放位置。这会根据目录的存放位置而生成不同的响应。(2)借助相册或提交到(b)image.php的图像参数中的\”..\”，读取任意的图像文件。

来源: XF
名称: ezonlinegallery-image-directory-traversal(29836)
链接:http://xforce.iss.net/xforce/xfdb/29836

来源: BID
名称: 20763
链接:http://www.securityfocus.com/bid/20763

来源: BUGTRAQ
名称: 20061027 MHL-2006-003 Public Advisory: “ezOnlineGallery” Multiple Security Issues
链接:http://www.securityfocus.com/archive/1/archive/1/449889/100/0/threaded

来源: MISC
链接:http://www.mayhemiclabs.com/advisories/MHL-2006-003.txt

来源: www.ezonlinegallery.com
链接:http://www.ezonlinegallery.com/changelog.txt

来源: XF
名称: ezonlinegallery-ezgallery-path-disclosure(29835)
链接:http://xforce.iss.net/xforce/xfdb/29835

来源: SREASON
名称: 2362
链接:http://securityreason.com/securityalert/2362

来源: FULLDISC
名称: 20061027 MHL-2006-003 Public Advisory: “ezOnlineGallery” Multiple Security Issues
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-October/050364.html