漏洞信息详情

PhpGedView module.php文件目录遍历漏洞

• CNNVD编号：CNNVD-201101-107
• 危害等级： 中危
  
• CVE编号： CVE-2011-0405
• 漏洞类型： 路径遍历
• 发布时间： 2011-01-12
• 威胁类型： 远程
• 更新时间： 2011-01-12
• 厂        商： phpgedview
• 漏洞来源：

漏洞简介

PhpGedView是一款开放源代码系统，可在线查看Gedcom信息。

当magic_quotes_gpc禁用时，PhpGedView 4.2.3及其他版本中的module.php文件中存在目录遍历漏洞。远程攻击者可以借助在pgvaction参数中的目录遍历序列读取任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.phpgedview.net/

参考网址

来源: sourceforge.net 链接:http://sourceforge.net/tracker/?func=detail&aid=3152857&group_id=55456&atid=477081 来源: VUPEN 名称: ADV-2011-0036 链接:http://www.vupen.com/english/advisories/2011/0036 来源: EXPLOIT-DB 名称: 15913 链接:http://www.exploit-db.com/exploits/15913 来源: sourceforge.net 链接:http://sourceforge.net/projects/phpgedview/forums/forum/185166/topic/4040059 来源: SECUNIA 名称: 42786 链接:http://secunia.com/advisories/42786 来源: OSVDB 名称: 70295 链接:http://osvdb.org/70295

受影响实体

• Phpgedview Phpgedview:4.2.3  

补丁

• SVN_includes
• 423_includes