razorCMS认证绕过漏洞

漏洞信息详情

razorCMS认证绕过漏洞

• CNNVD编号：CNNVD-201201-136
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-6038
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-27
  
• 厂        商：
  
  razorcms
• 漏洞来源：
  chap0

razorCMS是一套使用PHP语言编写的开源内容管理系统，它的所有数据均是以平面文件的形式存储的，所以无须安装一个数据库。

razorCMS 1.2.1之前版本中的admin/core/admin_func.php脚本中存在漏洞，该漏洞源于没有限制访问某些管理员的目录和文件。远程认证攻击者利用该漏洞通过fileman或(2)filemanview操作中的dir参数，读取，编辑，重命名，移动，和删除文件。注意：此漏洞与‘路径遍历’有关。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.razorcms.co.uk/archive/core/

来源: XF

名称: razorcms-adminfunc-security-bypass(72268)

链接:http://xforce.iss.net/xforce/xfdb/72268

来源: BID

名称: 51344

链接:http://www.securityfocus.com/bid/51344

来源: www.razorcms.co.uk

链接:http://www.razorcms.co.uk/archive/core/old/razorCMS_core_v1_2_1_STABLE.zip

来源: EXPLOIT-DB

名称: 18344

链接:http://www.exploit-db.com/exploits/18344

来源: SECUNIA

名称: 47461

链接:http://secunia.com/advisories/47461

来源: OSVDB

名称: 78230

链接:http://osvdb.org/78230