漏洞信息详情
Zikula Application Framework 代码注入漏洞
- CNNVD编号:CNNVD-201406-394
- 危害等级: 超危
- CVE编号: CVE-2014-2293
- 漏洞类型: 代码注入
- 发布时间: 2014-02-17
- 威胁类型: 远程
- 更新时间: 2018-12-04
- 厂 商: zikula
- 漏洞来源: Egidio Romano
漏洞简介
Zikula Application Framework是Zikula基金会的一套用于构建和维护Web站点的PHP应用程序框架,它可通过第三方附加模块扩展成社区、门户、电子商务等。
Zikula Application Framework 1.3.7 build 11之前版本中存在代码注入漏洞。远程攻击者可通过向index.php文件发送带有特制序列化数据的‘authentication_method_ser’或‘zikulaMobileTheme’参数,或向index.php文件发送带有特制序列化数据的‘zikulaMobileTheme’参数利用该漏洞删除任意文件或执行任意的PHP代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://zikula.org/
参考网址
来源:BID
链接:http://www.securityfocus.com/bid/66069
来源:MISC
链接:http://karmainsecurity.com/KIS-2014-02
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/91786
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/91787
来源:MISC
链接:https://secuniaresearch.flexerasoftware.com/secunia_research/2014-2/
来源:SECUNIA
链接:http://secunia.com/advisories/56274
受影响实体
- Zikula Zikula_application_framework:1.3.6
补丁
暂无
评论