PHPAdsNew 存在任意代码可执行漏洞发布时间:2001-10-11 更新时间:2001-10-11 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 phpAdsNew phpAdsNew 2.0beta 5详细描述 phpAdsNew是一款站点广告管理系统。 其中在phpAdsNew中存在一个漏洞可以导致远程攻击者在目标系统上以WEB用户身份执行任意命令,原因是远程用户可以提供任意数据给$include变量,此变量可以用来指定一包含PHP代码的文件并被执行,这样导致有影响的脚本重定向执行存在与外部主机上的任意代码。 测试代码 见描述 解决方案 升级程序: phpAdsNew Upgrade 2 dev 09102001 http://sourceforge.net/project/showfiles.php?group_id=11386&release_id=56265 相关信息 Niels Leenheer <niels@creatype.nl> |
