漏洞信息详情
SMF 任意文件上传漏洞
- CNNVD编号:CNNVD-201310-620
- 危害等级: 中危
- CVE编号: CVE-2013-4465
- 漏洞类型:
- 发布时间: 2013-10-28
- 威胁类型: 远程
- 更新时间: 2013-10-30
- 厂 商: simplemachines
- 漏洞来源:
漏洞简介
Simple Machines Forum(SMF)是美国SMF团队开发的一套开源、专业级的论坛软件包,它包含一个能够完全掌控论坛界面和布局的可定制模板引擎,并提供一种可实现论坛与网站相互给合的SSI(Server Side Includes)技术。
SMF 2.0.6之前的版本和2.1版本中的上传头像功能中存在未限制文件上传漏洞。远程经过授权的攻击者可通过上传可执行的扩展文件利用该漏洞执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.simplemachines.org/
参考网址
来源: github.com
链接:https://github.com/SimpleMachines/SMF2.1/issues/701
来源: BID
名称: 63275
链接:http://www.securityfocus.com/bid/63275
来源: MLIST
名称: [oss-security] 20131024 Re: CVE Request: Simple Machines Forum (SMF) Remote file inclusion vulnerability
链接:http://www.openwall.com/lists/oss-security/2013/10/25/3
来源: MLIST
名称: [oss-security] 20131022 Re: CVE Request: Simple Machines Forum (SMF) Remote file inclusion vulnerability
链接:http://www.openwall.com/lists/oss-security/2013/10/23/6
来源: download.simplemachines.org
链接:http://download.simplemachines.org/index.php?thanks;filename=smf_2-0-6_changelog.txt
受影响实体
- Simplemachines Simple_machines_forum:1.0.19
- Simplemachines Simple_machines_forum:1.0.2
- Simplemachines Simple_machines_forum:1.0.22
- Simplemachines Simple_machines_forum:1.0.23
- Simplemachines Simple_machines_forum:1.0.3
补丁
暂无
评论