漏洞信息详情

phpBP 'index.php' RC3文件上传漏洞

  • CNNVD编号:CNNVD-200701-324
  • 危害等级: 高危
  • CVE编号: CVE-2007-0370
  • 漏洞类型: SQL注入
  • 发布时间: 2007-01-19
  • 威胁类型: 远程
  • 更新时间: 2007-01-22
  • 厂        商: Phpbp
  • 漏洞来源:

漏洞简介

phpBP RC3(2.204)及之前版本的index.php中存在未限制文件上传漏洞。远程管理员可以借助一个标语添加操作,注入任意的PHP代码到upload/banners/文件。 该操作会通过图像格式参数,上传PHP代码。图像格式参数会详细说明一个多扩展名的文件名,比如.jpg.vil.gif.php。该漏洞会储存在不同的文件名下的upload/banners/中,借助一个直接请求就可以执行它。

漏洞公告

参考网址

来源: MILW0RM

名称: 3153

链接:http://www.milw0rm.com/exploits/3153

来源: OSVDB

名称: 34762

链接:http://osvdb.org/34762

来源: XF

名称: phpbp-banner-file-upload(31619)

链接:http://xforce.iss.net/xforce/xfdb/31619

来源: MILW0RM

名称: 3153

链接:http://milw0rm.com/exploits/3153

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多