漏洞信息详情

phpBB eXtreme Styles模块'admin_xs.php' 本地文件包含漏洞

• CNNVD编号：CNNVD-200803-424
• 危害等级： 中危
  
• CVE编号： CVE-2008-1512
• 漏洞类型： 路径遍历
• 发布时间： 2008-03-25
• 威胁类型： 远程
• 更新时间： 2008-09-05
• 厂        商： phpbb
• 漏洞来源： bd0rk bd0rk@hacker...

漏洞简介

phpBB是非常流行的WEB论坛程序。

phpBB的eXtreme Styles模块处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。

如果设置了setmodules的话，phpBB的eXtreme Styles模块(XS-Mod)的admin/admin_xs.php文件中没有正确地验证对phpEx参数的输入便用于包含文件，攻击者通过目录遍历攻击包含本地资源的任意文件。成功攻击要求打开了register_globals。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpbbstyles.com/viewtopic.php?t=356

参考网址

来源: XF

名称: xs-adminxs-file-include(41404)

链接:http://xforce.iss.net/xforce/xfdb/41404

来源: BID

名称: 28432

链接:http://www.securityfocus.com/bid/28432

来源: MILW0RM

名称: 5301

链接:http://www.milw0rm.com/exploits/5301

来源: SECUNIA

名称: 29487

链接:http://secunia.com/advisories/29487

受影响实体

• Phpbb Module_xs:2.4.0  
• Phpbb Module_xs:2.3.1  

补丁

暂无