YaBB远程未授权管理命令执行漏洞

YaBB远程未授权管理命令执行漏洞

漏洞ID 1201270 漏洞类型 访问验证错误
发布时间 2004-09-17 更新时间 2005-10-20
图片[1]-YaBB远程未授权管理命令执行漏洞-安全小百科CVE编号 CVE-2004-2403
图片[2]-YaBB远程未授权管理命令执行漏洞-安全小百科CNNVD-ID CNNVD-200412-634
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-634
|漏洞详情
YaBB是美国YaBB团队的一款基于PHP/MySQL的论坛程序。YaBB没有正确对管理命令访问进行验证,远程攻击者可以利用这个漏洞执行删除等管理命令操作。攻击者可以构建恶意URI连接或把恶意URI嵌入到IMG标记里,并且URI中包含恶意的YaBB管理命令,不仔细的论坛管理员在查看包含此IMG标记的帖子时,可导致这些恶意命令被执行,应用程序遭到破坏。
|参考资料

来源:XF
名称:yabb-administrative-bypass(17453)
链接:http://xforce.iss.net/xforce/xfdb/17453
来源:BID
名称:11214
链接:http://www.securityfocus.com/bid/11214
来源:OSVDB
名称:10243
链接:http://www.osvdb.org/10243
来源:SECUNIA
名称:12593
链接:http://secunia.com/advisories/12593
来源:BUGTRAQ
名称:20040916RE:www.proboards.com/YaBBXSSVuln
链接:http://archives.neohapsis.com/archives/bugtraq/2004-09/0227.html
来源:NSFOCUS
名称:6938
链接:http://www.nsfocus.net/vulndb/6938

相关推荐: PWC.CGI Syslog Format String Vulnerability

PWC.CGI Syslog Format String Vulnerability 漏洞ID 1103313 漏洞类型 Input Validation Error 发布时间 2001-03-23 更新时间 2001-03-23 CVE编号 N/A CNNV…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享