您现在的位置: | SH-News scriptpath参数远程文件包含漏洞 | ★★★ |
| SH-News scriptpath参数远程文件包含漏洞 | ||
| 作者:titandk 文章来源:本站原创 更新时间:2006-10-14 9:31:05 【字体:小 大】 | ||
SH-News SH-News 3.1描述: BUGTRAQ ID: 20478 SH-News是一款由德国人开发的新闻组系统。 SH-News处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。 SH-News的report.php、archive.php、comments.php、init.php和news.php文件没有正确的验证scriptpath参数的输入数据,允许攻击者通过包含本地或外部资源的任意文件导致任意PHP代码。 <*来源:v1per-haCker 链接:http://secunia.com/advisories/22316/ *> 建议: 厂商补丁: SH-News ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.shnews.de/ |
||
|
||
| 新闻录入:titandk 责任编辑:titandk | ||
