phpBB eXtreme Styles模块admin_xs.php本地文件包含漏洞-安全在线

phpBB eXtreme Styles模块admin_xs.php本地文件包含漏洞

作者：佚名来源：不详点击数：更新时间：2008年03月31日

发布日期：2008-03-24
更新日期：2008-03-26

受影响系统：

CyberAlien eXtreme Styles mod 2.4.0
CyberAlien eXtreme Styles mod 2.3.1

描述：

BUGTRAQ  ID: 28432

phpBB是非常流行的WEB论坛程序。

phpBB的eXtreme Styles模块处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。

如果设置了setmodules的话，phpBB的eXtreme Styles模块（XS-Mod）的admin/admin_xs.php文件中没有正确地验证对phpEx参数的输入便用于包含文件，这允许攻击者通过目录遍历攻击包含本地资源的任意文件。成功攻击要求打开了register_globals。

<*来源：bd0rk （bd0rk@hackermail.com）

  链接：http://secunia.com/advisories/29487/
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://secunia.com/advisories/29487/

建议：

厂商补丁：

CyberAlien
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpbbstyles.com/viewtopic.php?t=356

更多技术文章和教程,请您进入安全在线论坛查看.BBS.AQZX.ORG

上一篇：多个D-Link产品跨站脚本及拒绝服务漏洞

下一篇：SILC客户端及服务器密钥协商远程整数溢出漏洞

日历搜索

推荐栏目

Google Toolbar对话栏欺骗漏洞

微软发布12月份安全公告修复多个

MySQL服务器RENAME TABLE系统表格

5.17诺顿(Backdoor.Haxdoor)的误

Windows 2003 IIS6 .ASP目录执行

动易2006最新漏洞公告

PDF文件格式现漏洞用户电脑可被

WordPress wp-trackback.php漏洞

phpArticle2.06两个本地包含文件

phpcms 3.0.0文件上传漏洞

FreeBSD UFS文件系统本地整数溢出

热门栏目

动易2006最新漏洞公告

phpcms 3.0.0文件上传漏洞

Windows 2003 IIS6 .ASP目录执行

重庆电信开展IP地址反向解析阻止

PHP Easy Download file_infoadm

Windows Media Player ASX播放列

视频黑客盗取女子裸照敲诈勒索获

黑客远程登录盗取女子裸照进行敲

东昌中学一高考生遭遇电话黑客恶

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）



请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。本站管理员有权保留或删除评论内容。评论内容只代表网友个人观点，与本网站立场无关。