漏洞信息详情
Mambo/Joomla多个组件远程文件包含漏洞
- CNNVD编号:CNNVD-200607-338
- 危害等级: 中危
- CVE编号: CVE-2006-3749
- 漏洞类型: 代码注入
- 发布时间: 2006-07-21
- 威胁类型: 远程
- 更新时间: 2013-01-08
- 厂 商: mambo
- 漏洞来源: Ahmad Maulana matd...
漏洞简介
Mambo(也被称为Joomla)是一款开放源代码的WEB内容管理系统。
Mambo的多个组件中存在远程文件包含漏洞,远程攻击者可能利用这些漏洞在服务器上以Web进程权限执行任意命令。由于没有正确过滤$mosConfig_absolute_path变量,因此在register_globals=on和allow_fopenurl=on的配置情况下攻击者就可以使脚本包含远程服务器上的PHP代码执行。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sourceforge.net/projects/mambo
参考网址
来源: VUPEN
名称: ADV-2006-2803
链接:http://www.frsirt.com/english/advisories/2006/2803
来源: XF
名称: sitemap-sitemapxml-file-include(27723)
链接:http://xforce.iss.net/xforce/xfdb/27723
来源: BID
名称: 18991
链接:http://www.securityfocus.com/bid/18991
来源: MILW0RM
名称: 2028
链接:http://www.milw0rm.com/exploits/2028
来源: SECUNIA
名称: 21055
链接:http://secunia.com/advisories/21055
来源: MILW0RM
名称: 2028
链接:http://milw0rm.com/exploits/2028
来源: BUGTRAQ
名称: 20060712 [ECHO_ADV_38$2006] Multiple Mambo/Joomla Component Remote File Include Vulnerabilities
链接:http://archives.neohapsis.com/archives/bugtraq/2006-07/0180.HTML
来源: MISC
链接:http://advisories.echo.or.id/adv/adv38-matdhule-2006.txt
来源: BID
名称: 24592
链接:http://www.securityfocus.com/bid/24592
来源: SREASON
名称: 1249
链接:http://securityreason.com/securityalert/1249
受影响实体
- Mambo Sitemap:2.0.0
补丁
暂无
评论