PHP Nuke存在远程Ad Banner URL可改变漏洞发布时间:2001-04-12 更新时间:2001-04-12 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 Francisco Burzi PHP Nuke 4.4详细描述 PHP-Nuke是一由PHP3写的建站和维护工具。PHP-NUKE支持远程用户发布循环的广告条,不过其存在一个漏洞可以导致远程用户发送请求字符串来特定一个新的目的URL让浏览者来打开。 测试代码 要改变第一个BANNER,你需要: http://target/banners.php?op=Change&bid=bannerid&url=http://where.to 如果我们要改变BANNER 1到www.you_are_redir 我们可以使用: http://www.example.com/banners.php?op=Change&bid=1&url=http://you.are.redir 解决方案 补丁下载或者下载新的版本: http://phpnuke.org/download.php?dcategory=Fixes Francisco Burzi PHP Nuke 4.4: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 Francisco Burzi PHP Nuke 4.0: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 Francisco Burzi PHP-Nuke 4.3: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 Francisco Burzi PHP-Nuke 3.0: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 Francisco Burzi PHP-Nuke 2.5: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 Francisco Burzi PHP-Nuke 1.0: PHP Nuke patch banners.tar.gz http://phpnuke.org/download.php?op=mydown&did=73 PHP Nuke patch mainfile.tar.gz http://phpnuke.org/download.php?op=mydown&did=72 相关信息 |
