漏洞信息详情
SPIP ‘ecran_securite.php’ PHP代码注入漏洞
- CNNVD编号:CNNVD-201311-206
- 危害等级: 高危
- CVE编号: CVE-2013-4557
- 漏洞类型: 代码注入
- 发布时间: 2013-11-11
- 威胁类型: 远程
- 更新时间: 2013-12-13
- 厂 商: spip
- 漏洞来源: David Prévot
漏洞简介
SPIP是一套免费的基于Web的内容发布系统。该系统主要用于在线协作。
SPIP 3.0.12之前的3.0.x版本中使用的Security Screen (_core_/securite/ecran_securite.php) 1.1.8之前的版本中存在安全漏洞。远程攻击者可借助‘connect’参数利用该漏洞执行任意PHP代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.spip.net/fr_article5648.HTML
参考网址
来源: zone.spip.org
链接:http://zone.spip.org/trac/spip-zone/changeset/75105/_core_/securite/ecran_securite.php
来源: www.spip.net
链接:http://www.spip.net/fr_article5648.HTML
来源: www.spip.net
链接:http://www.spip.net/fr_article5646.HTML
来源: SECTRACK
名称: 1029317
链接:http://www.securitytracker.com/id/1029317
来源: MLIST
名称: [oss-security] 20131110 Re: CVE Request: multiple vulnerabilities in spip
链接:http://www.openwall.com/lists/oss-security/2013/11/10/4
来源: SECUNIA
名称: 55551
链接:http://secunia.com/advisories/55551
来源: DEBIAN
名称: DSA-2794
链接:http://lists.debian.org/debian-security-announce/2013/msg00206.HTML
来源: BID
名称: 63637
链接:http://www.securityfocus.com/bid/63637
受影响实体
- Spip Spip:3.0.0
- Spip Spip:3.0.1
- Spip Spip:3.0.2
- Spip Spip:3.0.3
- Spip Spip:3.0.4
补丁
- spip-3.0.13
- spip-2.1.24
- ecran_securite
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论