漏洞信息详情
MiniBB 'news.php'远程文件包含漏洞
- CNNVD编号:CNNVD-200608-020
- 危害等级: 高危
- CVE编号: CVE-2006-3955
- 漏洞类型: 输入验证
- 发布时间: 2006-07-20
- 威胁类型: 远程
- 更新时间: 2006-08-03
- 厂 商: minibb
- 漏洞来源:
漏洞简介
MiniBB(全称Minimalistic Bulletin Board)是一套免费、开源的互联网论坛软件。该软件支持多种论坛样式、多界面语言、多时区、插件扩展等。
MiniBB处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。
MiniBB的news.php脚本没能对absolute_path变量做充分的检查过滤,攻击者可以使脚本包含远程服务器上的PHP代码执行。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.minibb.net/authors.HTML
参考网址
来源: XF
名称: minibb-multiple-scripts-file-include(27905)
链接:http://xforce.iss.net/xforce/xfdb/27905
来源: BID
名称: 19095
链接:http://www.securityfocus.com/bid/19095
来源: BUGTRAQ
名称: 20060720 MiniBB Forum <= 1.5a="" remote="" file="" include="">
链接:http://www.securityfocus.com/archive/1/archive/1/440875/100/100/threaded
来源: BUGTRAQ
名称: 20060721 MiniBB Forum <= 1.5a="" remote="" file="" include="">
链接:http://www.securityfocus.com/archive/1/archive/1/440839/100/100/threaded
来源: SECTRACK
名称: 1016558
链接:http://securitytracker.com/id?1016558
来源: SECTRACK
名称: 1016557
链接:http://securitytracker.com/id?1016557
来源: OSVDB
名称: 28676
链接:http://www.osvdb.org/28676
来源: OSVDB
名称: 28675
链接:http://www.osvdb.org/28675
来源: OSVDB
名称: 28674
链接:http://www.osvdb.org/28674
来源: SREASON
名称: 1315
链接:http://securityreason.com/securityalert/1315
受影响实体
- Minibb Minibb:1.5a
补丁
暂无
评论