Chyrp目录遍历漏洞

漏洞信息详情

Chyrp目录遍历漏洞

• CNNVD编号：CNNVD-201107-216
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-2744
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2011-07-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-07-20
  
• 厂        商：
  
  chyrp
• 漏洞来源：

Chyrp是一款开源的基于PHP和MySQL的轻量级博客（Blog）引擎。

Chyrp 2.1及之前版本中存在目录遍历漏洞。借助action参数向index.php传递的输入在被用于包含文件之前没有经过正确验证，远程攻击者可借助目录遍历序列和URL编码的NULL字节包含并执行任意本地文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.justanotherhacker.com/advisories/JAHx113.txt

http://www.ocert.org/advisories/ocert-2011-001.html

来源: XF

名称: chyrp-action-local-file-include(68564)

链接:http://xforce.iss.net/xforce/xfdb/68564

来源: BID

名称: 48672

链接:http://www.securityfocus.com/bid/48672

来源: BUGTRAQ

名称: 20110713 [oCERT-2011-001] Chyrp input sanitization errors

链接:http://www.securityfocus.com/archive/1/archive/1/518890/100/0/threaded

来源: MLIST

名称: [oss-security] 20110713 Re: [oCERT-2011-001] Chyrp input sanitization errors

链接:http://www.openwall.com/lists/oss-security/2011/07/13/6

来源: MLIST

名称: [oss-security] 20110713 [oCERT-2011-001] Chyrp input sanitization errors

链接:http://www.openwall.com/lists/oss-security/2011/07/13/5

来源: www.ocert.org

链接:http://www.ocert.org/advisories/ocert-2011-001.html

来源: www.justanotherhacker.com

链接:http://www.justanotherhacker.com/advisories/JAHx113.txt

来源: SECUNIA

名称: 45184

链接:http://secunia.com/advisories/45184