Leszek Krupinski L-Forum存在文件泄露漏洞发布时间:2002-08-21 更新时间:2002-08-21 严重程度:高 威胁程度:远程非授权文件存取 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5463 受影响系统 Leszek Krupinski L-Forum 2.4 .0详细描述 L-Forum存在漏洞可泄露任意文件给攻击者,L-Forum的文件上传机制没有很好的检查4个全局变量是否存在(attachment, attachment_name, attachment_size 和attachment_type),可以通过指定本地文件为上载文件而获得系统任意文件内容。 测试代码 无 解决方案 补丁下载: Leszek Krupinski L-Forum 2.4 .0: Leszek Krupinski Patch Security patch for L-Forum 2.4.0 http://sourceforge.net/tracker/download.php?group_id=53716&atid=471343&file_id=26687&aid=579278 相关信息 Ulf Harnhammar <ulfh@update.uu.se>. 参考:http://online.securityfocus.com/archive/1/287292 补丁下载:http://l-forum.x-php.net/ |
