漏洞信息详情
XML-RPC/PHP-XMLRPC 代码注入漏洞
- CNNVD编号:CNNVD-200507-011
- 危害等级: 高危
- CVE编号: CVE-2005-1921
- 漏洞类型: 输入验证
- 发布时间: 2005-06-30
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: pear
- 漏洞来源: James Bercegay se...
漏洞简介
PEAR XML_RPC及PHPXMLRPC是在较多网站应用系统中使用的功能模块。
PEAR XML_RPC 1.3.0及之前版本(也称为XML-RPC或xmlrpc)以及PHPXMLRPC (也称为XML-RPC For PHP或php-xmlrpc) 1.1及之前版本中存在代码注入漏洞。
由于在使用文件前没有进行适当的检验处理,远程攻击者可通过XML文件,利用此漏洞执行任意PHP代码。
多个使用这些模块的产品,包括WordPress, Serendipity,Drupal,egroupware, MailWatch, TikiWiki, phpWebSite, Ampache等均受此漏洞影响。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://pear.php.net/package/XML_RPC/download/
http://sourceforge.net/projects/phpxmlrpc/files/
参考网址
来源: MANDRAKE
名称: MDKSA-2005:109
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:109
来源: MISC
链接:http://www.gulftech.org/?node=research&article_id=00087-07012005
来源: MISC
链接:http://pear.php.net/package/XML_RPC/download/1.3.1
来源: BUGTRAQ
名称: 20050629 Advisory 02/2005: Remote code execution in Serendipity
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112008638320145&w=2
来源: HP
名称: HPSBTU02083
链接:http://www.securityfocus.com/archive/1/archive/1/419064/100/0/threaded
来源: MISC
链接:http://www.hardened-php.net/advisory-022005.php
来源: BID
名称: 14088
链接:http://www.securityfocus.com/bid/14088
来源: HP
名称: HPSBTU02083
链接:http://www.securityfocus.com/archive/1/archive/1/419064/100/0/threaded
来源: REDHAT
名称: RHSA-2005:564
链接:http://www.redhat.com/support/errata/RHSA-2005-564.HTML
来源: SUSE
名称: SUSE-SA:2005:049
链接:http://www.novell.com/linux/security/advisories/2005_49_php.HTML
来源: SUSE
名称: SUSE-SA:2005:041
链接:http://www.novell.com/linux/security/advisories/2005_41_php_pear.HTML
来源: SUSE
名称: SUSE-SR:2005:018
链接:http://www.novell.com/linux/security/advisories/2005_18_sr.HTML
来源: VUPEN
名称: ADV-2005-2827
链接:http://www.frsirt.com/english/advisories/2005/2827
来源: www.drupal.org
链接:http://www.drupal.org/security/drupal-sa-2005-003/advisory.txt
来源: DEBIAN
名称: DSA-789
链接:http://www.debian.org/security/2005/dsa-789
来源: DEBIAN
名称: DSA-747
链接:http://www.debian.org/security/2005/dsa-747
来源: DEBIAN
名称: DSA-746
链接:http://www.debian.org/security/2005/dsa-746
来源: DEBIAN
名称: DSA-745
链接:http://www.debian.org/security/2005/dsa-745
来源: www.ampache.org
链接:http://www.ampache.org/announce/3_3_1_2.php
来源: sourceforge.net
链接:http://sourceforge.net/project/shownotes.php?release_id=338803
来源: sourceforge.net
链接:http://sourceforge.net/project/showfiles.php?group_id=87163
来源: SECTRACK
名称: 1015336
链接:http://securitytracker.com/id?1015336
来源: GENTOO
名称: GLSA-200507-07
链接:http://security.gentoo.org/glsa/glsa-200507-07.xml
来源: GENTOO
名称: GLSA-200507-06
链接:http://security.gentoo.org/glsa/glsa-200507-06.xml
来源: GENTOO
名称: GLSA-200507-01
链接:http://security.gentoo.org/glsa/glsa-200507-01.xml
来源: SECUNIA
名称: 18003
链接:http://secunia.com/advisories/18003
来源: SECUNIA
名称: 17674
链接:http://secunia.com/advisories/17674
来源: SECUNIA
名称: 17440
链接:http://secunia.com/advisories/17440
来源: SECUNIA
名称: 16693
链接:http://secunia.com/advisories/16693
来源: SECUNIA
名称: 16339
链接:http://secunia.com/advisories/16339
来源: SECUNIA
名称: 16001
链接:http://secunia.com/advisories/16001
来源: SECUNIA
名称: 15957
链接:http://secunia.com/advisories/15957
来源: SECUNIA
名称: 15947
链接:http://secunia.com/advisories/15947
来源: SECUNIA
名称: 15944
链接:http://secunia.com/advisories/15944
来源: SECUNIA
名称: 15922
链接:http://secunia.com/advisories/15922
来源: SECUNIA
名称: 15917
链接:http://secunia.com/advisories/15917
来源: SECUNIA
名称: 15916
链接:http://secunia.com/advisories/15916
来源: SECUNIA
名称: 15904
链接:http://secunia.com/advisories/15904
来源: SECUNIA
名称: 15903
链接:http://secunia.com/advisories/15903
来源: SECUNIA
名称: 15895
链接:http://secunia.com/advisories/15895
来源: SECUNIA
名称: 15884
链接:http://secunia.com/advisories/15884
来源: SECUNIA
名称: 15883
链接:http://secunia.com/advisories/15883
来源: SECUNIA
名称: 15872
链接:http://secunia.com/advisories/15872
来源: SECUNIA
名称: 15861
链接:http://secunia.com/advisories/15861
来源: SECUNIA
名称: 15855
链接:http://secunia.com/advisories/15855
来源: SECUNIA
名称: 15852
链接:http://secunia.com/advisories/15852
来源: SECUNIA
名称: 15810
链接:http://secunia.com/advisories/15810
来源: SUSE
名称: SUSE-SA:2005:051
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112605112027335&w=2
来源: BUGTRAQ
名称: 20050629 [DRUPAL-SA-2005-003] Drupal 4.6.2 / 4.5.4 fixes critical XML-RPC issue
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112015336720867&w=2
来源: US Government Resource: oval:org.mitre.oval:def:350
名称: oval:org.mitre.oval:
受影响实体
- Pear Xml_rpc:1.3.0rc2
- Pear Xml_rpc:1.3.0rc3
- Pear Xml_rpc:1.3.0rc1
- Pear Xml_rpc:1.2.2
- Pear Xml_rpc:1.2.0rc6
补丁
暂无
评论