PMB 多个远程文件包含漏洞-一一网

漏洞信息详情

PMB 多个远程文件包含漏洞

CNNVD编号：CNNVD-200703-328

危害等级：高危
CVE编号：
CVE-2007-1415
漏洞类型：

代码注入
发布时间：

2007-03-12
威胁类型：

远程
更新时间：

2007-04-10
厂商：

pmb_services
漏洞来源：
M.Hasran Addahroni…

漏洞简介

PMB Services 3.0.13及之前版本中存在多个PHP远程文件包含漏洞。远程攻击者可以借助提交到(a)includes/resa_func.inc.php，(b)admin/notices/perso.inc.php或(c)admin/quotas/main.inc.php的(1)class_path参数、到(d)opac_css/rec_panier.php或(e) opac_css/includes/author_see.inc.php的(2)base_path参数或到(f)bull_info.inc.php或(g) misc.inc.php；(h) options_date_box.php,(i)options_file_box.php,(j)options_list.php,(k)options_query_list.php或(l)options_text.php，(m)options.php,(n)options_comment.php,(o)options_date_box.php,(p)options_list.php,(q)options_query_list.php或(r)options_text.php ，(s)admin/import/iimport_expl.php,(t)admin/netbase/clean.php,(u)admin/param/param_func.inc.php,(v)admin/sauvegarde/lieux.inc.php,(w) autorites.php,(x)account.php,(y)cart.php或(z)edit.php的(3)include_path参数中的一个URL，执行任意的PHP代码。

漏洞公告

参考网址

来源: XF
名称: pmbservices-multiple-scripts-file-include(32890)
链接:http://xforce.iss.net/xforce/xfdb/32890

来源: BID
名称: 22895
链接:http://www.securityfocus.com/bid/22895

来源: BUGTRAQ
名称: 20070310 [ECHO_ADV_68$2007] PMB Services <= 3.0.13 Multiple Remote File Inclusion Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/462452/100/0/threaded

来源: MILW0RM
名称: 3443
链接:http://www.milw0rm.com/exploits/3443

来源: VUPEN
名称: ADV-2007-0917
链接:http://www.frsirt.com/english/advisories/2007/0917

来源: MISC
链接:http://advisories.echo.or.id/adv/adv68-K-159-2007.txt

来源: OSVDB
名称: 35125
链接:http://www.osvdb.org/35125

来源: OSVDB
名称: 35124
链接:http://www.osvdb.org/35124

来源: OSVDB
名称: 35123
链接:http://www.osvdb.org/35123

来源: OSVDB
名称: 35122
链接:http://www.osvdb.org/35122

来源: OSVDB
名称: 35121
链接:http://www.osvdb.org/35121

来源: OSVDB
名称: 35120
链接:http://www.osvdb.org/35120

来源: OSVDB
名称: 35119
链接:http://www.osvdb.org/35119

来源: OSVDB
名称: 35118
链接:http://www.osvdb.org/35118

来源: OSVDB
名称: 35117
链接:http://www.osvdb.org/35117