漏洞信息详情
UBB.threads 多个直接静态代码注入漏洞
- CNNVD编号:CNNVD-200610-003
- 危害等级: 高危
- CVE编号: CVE-2006-5137
- 漏洞类型: 输入验证
- 发布时间: 2006-10-03
- 威胁类型: 远程
- 更新时间: 2006-10-18
- 厂 商: ubbcentral
- 漏洞来源: HACKERS PAL is cre...
漏洞简介
Groupee UBB.threads 6.5.1.1中的多个直接静态代码注入漏洞,远程攻击者可以通过(1)通过theme[]数组参数将PHP代码注入admin/doedittheme.php中,随后再注入includes/theme.inc.php中;(2)通过config[]数组参数将PHP代码注入admin/doeditconfig.php,然后通过includes/config.inc.php执行该代码;以及通过config[path]参数中的URL将引用注入PHP代码,然后通过(3) dorateuser.php、(4) calendar.php和其他未指定的脚本执行该代码。
漏洞公告
参考网址
来源: XF
名称: ubbthreads-multiple-file-include(29274)
链接:http://xforce.iss.net/xforce/xfdb/29274
来源: BID
名称: 20266
链接:http://www.securityfocus.com/bid/20266
来源: BUGTRAQ
名称: 20060929 UBB.threads Multiple input validation error
链接:http://www.securityfocus.com/archive/1/archive/1/447359/100/0/threaded
来源: SREASON
名称: 1676
链接:http://securityreason.com/securityalert/1676
受影响实体
- Ubbcentral Ubb.Threads:6.5.1.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论