漏洞信息详情

Zikula Application Framework 代码注入漏洞

• CNNVD编号：CNNVD-201406-394
• 危害等级： 超危
  
• CVE编号： CVE-2014-2293
• 漏洞类型： 代码注入
• 发布时间： 2014-02-17
• 威胁类型： 远程
• 更新时间： 2018-12-04
• 厂        商： zikula
• 漏洞来源： Egidio Romano

漏洞简介

Zikula Application Framework是Zikula基金会的一套用于构建和维护Web站点的PHP应用程序框架，它可通过第三方附加模块扩展成社区、门户、电子商务等。

Zikula Application Framework 1.3.7 build 11之前版本中存在代码注入漏洞。远程攻击者可通过向index.php文件发送带有特制序列化数据的‘authentication_method_ser’或‘zikulaMobileTheme’参数，或向index.php文件发送带有特制序列化数据的‘zikulaMobileTheme’参数利用该漏洞删除任意文件或执行任意的PHP代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://zikula.org/

参考网址

来源:BID

链接:http://www.securityfocus.com/bid/66069

来源:MISC

链接:http://karmainsecurity.com/KIS-2014-02

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/91786

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/91787

来源:MISC

链接:https://secuniaresearch.flexerasoftware.com/secunia_research/2014-2/

来源:SECUNIA

链接:http://secunia.com/advisories/56274

受影响实体

• Zikula Zikula_application_framework:1.3.6  

补丁

暂无