漏洞信息详情

VisualShapers ezContents多个模块文件包含漏洞

• CNNVD编号：CNNVD-200403-018
• 危害等级： 高危
  
• CVE编号： CVE-2004-0132
• 漏洞类型： 输入验证
• 发布时间： 2004-02-11
• 威胁类型： 远程
• 更新时间： 2006-09-28
• 厂        商： visualshapers
• 漏洞来源： Cedric Cochin※ cco...

漏洞简介

ezContents是一款开放源代码内容管理系统。 ezContents包含的多个模块对用户提交输入缺少充分过滤，远程攻击者可以利用这些漏洞进行SQL注入攻击，修改数据库及获得敏感数据。 问题是包含的\'\'db.php\'\'及\'\'archivednews.php\'\'脚本对用户提交的\'\'GLOBALS[rootdp]\'\'和\'\'GLOBALS[language_home]\'\'变量数据缺少充分过滤，提交指定远程服务器上的文件作为变量数据，可能以WEB进程权限执行任意代码。

漏洞公告

厂商补丁： VisualShapers ------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

VisualShapers Upgrade ezContents203.tar.gz

http://www.ezcontentsdev.org/ezContents203.tar.gz

参考网址

来源: BUGTRAQ 名称: 20040210 PHP Code Injection Vulnerabilities in ezContents 2.0.2 and prior 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107651585921958&w=2 来源: XF 名称: ezcontents-multiple-file-include(15135) 链接:http://xforce.iss.net/xforce/xfdb/15135

受影响实体

• Visualshapers Ezcontents:2.0.2  
• Visualshapers Ezcontents:2.0_rc1  
• Visualshapers Ezcontents:2.0_rc2  
• Visualshapers Ezcontents:2.0_rc3  
• Visualshapers Ezcontents:2.0.1  

补丁

暂无