漏洞信息详情
dForum 多个远程文件包含漏洞
- CNNVD编号:CNNVD-200604-455
- 危害等级: 高危
- CVE编号: CVE-2006-1994
- 漏洞类型: 输入验证
- 发布时间: 2006-04-25
- 威胁类型: 远程
- 更新时间: 2006-04-26
- 厂 商: dforum
- 漏洞来源: discovered these issues.');">Mustafa Can Bjorn ...
漏洞简介
dForum 1.5及早期版本中存在PHP远程文件包含漏洞。这使得远程攻击者可以借助于传递到(1) about.php、(2) admin.php、(3) anmelden.php、(4) losethread.php、(5) config.php、(6) delpost.php、(7) delthread.php、(8) dfcode.php、(9) download.php、(10) editanoc.php、(11) forum.php、 (12) login.php、(13) makethread.php、(14) menu.php、(15) newthread.php、(16) openthread.php、(17) overview.php、(18) post.php、(19) suchen.php、(20) user.php、(21) userconfig.php、(22) userinfo.php和(23) verwalten.php中的DFORUM_PATH参数执行任意PHP代码 。
漏洞公告
参考网址
来源: BID
名称: 17650
链接:http://www.securityfocus.com/bid/17650
来源: BUGTRAQ
名称: 20060421 dForum <= 1.5="" multiple="" remote="" file="" inclusion="">
链接:http://www.securityfocus.com/archive/1/431758
来源: MISC
链接:http://www.nukedx.com/?viewdoc=27
来源: VUPEN
名称: ADV-2006-1482
链接:http://www.frsirt.com/english/advisories/2006/1482
来源: SECUNIA
名称: 19788
链接:http://secunia.com/advisories/19788
来源: XF
名称: dforum-dforumpath-parameter-file-include(26035)
链接:http://xforce.iss.net/xforce/xfdb/26035
来源: FULLDISC
名称: 20060421 dForum <= 1.5="" multiple="" remote="" file="" inclusion="">
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045369.HTML
受影响实体
- Dforum Dforum:1.5
补丁
暂无
评论