漏洞信息详情
VisualShapers ezContents多个模块文件包含漏洞
- CNNVD编号:CNNVD-200403-018
- 危害等级: 高危
- CVE编号: CVE-2004-0132
- 漏洞类型: 输入验证
- 发布时间: 2004-02-11
- 威胁类型: 远程
- 更新时间: 2006-09-28
- 厂 商: visualshapers
- 漏洞来源: Cedric Cochin※ cco...
漏洞简介
ezContents是一款开放源代码内容管理系统。 ezContents包含的多个模块对用户提交输入缺少充分过滤,远程攻击者可以利用这些漏洞进行SQL注入攻击,修改数据库及获得敏感数据。 问题是包含的\'\'db.php\'\'及\'\'archivednews.php\'\'脚本对用户提交的\'\'GLOBALS[rootdp]\'\'和\'\'GLOBALS[language_home]\'\'变量数据缺少充分过滤,提交指定远程服务器上的文件作为变量数据,可能以WEB进程权限执行任意代码。
漏洞公告
厂商补丁: VisualShapers ------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
VisualShapers Upgrade ezContents203.tar.gz
http://www.ezcontentsdev.org/ezContents203.tar.gz
参考网址
来源: BUGTRAQ 名称: 20040210 PHP Code Injection Vulnerabilities in ezContents 2.0.2 and prior 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107651585921958&w=2 来源: XF 名称: ezcontents-multiple-file-include(15135) 链接:http://xforce.iss.net/xforce/xfdb/15135
受影响实体
- Visualshapers Ezcontents:2.0.2
- Visualshapers Ezcontents:2.0_rc1
- Visualshapers Ezcontents:2.0_rc2
- Visualshapers Ezcontents:2.0_rc3
- Visualshapers Ezcontents:2.0.1
补丁
暂无
评论