漏洞信息详情
Mambo MOStlyCE Module Image Manager Utility任意文件上传漏洞
- CNNVD编号:CNNVD-200909-230
- 危害等级: 中危
- CVE编号: CVE-2008-7215
- 漏洞类型: 输入验证
- 发布时间: 2009-09-11
- 威胁类型: 远程
- 更新时间: 2009-09-16
- 厂 商: mambo-foundation
- 漏洞来源: AmnPardaz Security...
漏洞简介
MOStlyCE 2.4版本之前的版本的图像管理器,当在Mambo 4.6.3版本及其早期版本中运行时,远程攻击者可以借助一个FileUpload指令中的修改过的file[NewFile][name], file[NewFile][tmp_name]和file[NewFile][size]参数,且这些参数被用来在is_uploaded_file核查失败时修改$_FILES中的对等自变量,以重命名任意文件并造成拒绝服务。
漏洞公告
参考网址
来源: XF 名称: mambo-connector-dos(39986) 链接:http://xforce.iss.net/xforce/xfdb/39986 来源: VUPEN 名称: ADV-2008-0325 链接:http://www.vupen.com/english/advisories/2008/0325 来源: BID 名称: 27472 链接:http://www.securityfocus.com/bid/27472 来源: BUGTRAQ 名称: 20080128 Mambo 4.6.3 Path Disclosure, XSS , XSRF, DOS 链接:http://www.securityfocus.com/archive/1/archive/1/487128/100/200/threaded 来源: MISC 链接:http://www.bugreport.ir/index_33.htm 来源: SECUNIA 名称: 28670 链接:http://secunia.com/advisories/28670 来源: OSVDB 名称: 42532 链接:http://osvdb.org/42532 来源: forum.mambo-foundation.org 链接:http://forum.mambo-foundation.org/showthread.php?t=10158 来源: BUGTRAQ 名称: 20080227 Re: Mambo 4.6.3 Path Disclosure, XSS , XSRF, DOS 链接:http://archives.neohapsis.com/archives/bugtraq/2008-02/0444.HTML
受影响实体
- Mambo-Foundation Mambo:4.6.2
- Mambo-Foundation Mambo:4.6.3
补丁
暂无
评论