CMSimple index.php 目录遍历和输入验证错误漏洞

漏洞信息详情

CMSimple index.php 目录遍历和输入验证错误漏洞

• CNNVD编号：CNNVD-200806-155
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-2650
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2008-05-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-04-14
  
• 厂        商：
  
  cmsimple
• 漏洞来源：
  irk4z irk4z@yahoo….

CMSimple是丹麦软件开发者Peter Andreas Harteg所研发的一套基于PHP的小型网站内容管理工具。该工具支持所见即所得编辑器、文件自动备份和多种语言等。

CMSimple的index.php脚本中没有正确地过滤对sl参数的输入便用于包含本地文件；index.php脚本没有正确地限制对登录用户的访问，可能导致上传任意文件并执行任意PHP代码。成功利用这些漏洞要求打开了register_globals。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.cmsimple.org/?Downloads:Security_fix

来源: XF

名称: cmsimple-index-file-include(42792)

链接:http://xforce.iss.net/xforce/xfdb/42792

来源: XF

名称: cmsimple-index-file-upload(42793)

链接:http://xforce.iss.net/xforce/xfdb/42793

来源: BID

名称: 29450

链接:http://www.securityfocus.com/bid/29450

来源: MILW0RM

名称: 5700

链接:http://www.milw0rm.com/exploits/5700

来源: www.cmsimple.com

链接:http://www.cmsimple.com/forum/viewtopic.php?f=2&t=17

来源: SECUNIA

名称: 30463

链接:http://secunia.com/advisories/30463

来源: OSVDB

名称: 45881

链接:http://osvdb.org/45881