Fork CMS ‘frontend/core/engine/javascript.php’路径遍历漏洞

漏洞信息详情

Fork CMS ‘frontend/core/engine/javascript.php’路径遍历漏洞

• CNNVD编号：CNNVD-201202-235
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-1207
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-27
  
• 厂        商：
  
  fork-cms
• 漏洞来源：
  d3v1l

Fork CMS中的frontend/core/engine/javascript.php中存在目录遍历漏洞。远程攻击者可利用该漏洞借助frontend/js.php的module参数的..(点 点)读取任意文件。Fork CMS3.2.4版本中存在该漏洞，3.2.5之前的其他版本中也可能存在。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.fork-cms.com/blog/detail/fork-cms-3-2-5-released

来源: github.com

链接:https://github.com/forkcms/forkcms/commit/a9986b86c53de0582248b39605660fbba0c21a29

来源: XF

名称: forkcms-js-file-include(73169)

链接:http://xforce.iss.net/xforce/xfdb/73169

来源: BID

名称: 51972

链接:http://www.securityfocus.com/bid/51972

来源: www.fork-cms.com

链接:http://www.fork-cms.com/blog/detail/fork-cms-3-2-5-released

来源: packetstormsecurity.org

链接:http://packetstormsecurity.org/files/109709/Fork-CMS-3.2.4-Cross-Site-Scripting-Local-File-Inclusion.html