漏洞信息详情

dForum 多个远程文件包含漏洞

• CNNVD编号：CNNVD-200604-455
• 危害等级： 高危
  
• CVE编号： CVE-2006-1994
• 漏洞类型： 输入验证
• 发布时间： 2006-04-25
• 威胁类型： 远程
• 更新时间： 2006-04-26
• 厂        商： dforum
• 漏洞来源： discovered these issues.');">Mustafa Can Bjorn ...

漏洞简介

dForum 1.5及早期版本中存在PHP远程文件包含漏洞。这使得远程攻击者可以借助于传递到(1) about.php、(2) admin.php、(3) anmelden.php、(4) losethread.php、(5) config.php、(6) delpost.php、(7) delthread.php、(8) dfcode.php、(9) download.php、(10) editanoc.php、(11) forum.php、 (12) login.php、(13) makethread.php、(14) menu.php、(15) newthread.php、(16) openthread.php、(17) overview.php、(18) post.php、(19) suchen.php、(20) user.php、(21) userconfig.php、(22) userinfo.php和(23) verwalten.php中的DFORUM_PATH参数执行任意PHP代码 。

漏洞公告

参考网址

来源: BID

名称: 17650

链接:http://www.securityfocus.com/bid/17650

来源: BUGTRAQ

名称: 20060421 dForum <= 1.5="" multiple="" remote="" file="" inclusion="">

链接:http://www.securityfocus.com/archive/1/431758

来源: MISC

链接:http://www.nukedx.com/?viewdoc=27

来源: VUPEN

名称: ADV-2006-1482

链接:http://www.frsirt.com/english/advisories/2006/1482

来源: SECUNIA

名称: 19788

链接:http://secunia.com/advisories/19788

来源: XF

名称: dforum-dforumpath-parameter-file-include(26035)

链接:http://xforce.iss.net/xforce/xfdb/26035

来源: FULLDISC

名称: 20060421 dForum <= 1.5="" multiple="" remote="" file="" inclusion="">

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045369.HTML

受影响实体

• Dforum Dforum:1.5  

补丁

暂无