mcNews文件泄露漏洞发布时间:2002-05-23 更新时间:2002-05-23 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4770 受影响系统 McNews McNews 1.0详细描述 mcNews是新闻张贴系统,可运行在多种操作系统下。 其中对URL参数中的内容缺少检查,可使攻击者提交多个../字符形式的文件请求来查看文件内容,使敏感信息泄露。 测试代码 http://target/admin/header.php?voir=hop&skinfile=../../file 解决方案 尚无 相关信息 frog frog <leseulfrog@hotmail.com>. 参考:http://online.securityfocus.com/archive/82/273063/2002-05-17/2002-05-23/0 相关主页:http://www.phpforums.net/mcNewsEN.html |
