XOOPS
新闻
新闻索引
新闻
模块
开发者
黑客
主题
存档
提交新闻
首页
XOOPS
关于XOOPS
为什么选择XOOPS?
XOOPS特点
使用条款
隐私声明
许可协议
论坛
论坛索引
最新主题
新闻
主题
模块
模块@GitHub
旧存储库
XOOPS常见问题
账户
登录
注册
下载XOOPS 2.5.11
出版商
XOOPS
安全
xoops CMS模块“教程”中的目录遍历漏洞
安全
xoops CMS模块“教程”中的目录遍历漏洞
ac3__
14-Jun-2003 15:08
4912 阅读量
5 评论
此漏洞会影响已安装Xoops或E-Xoops PHP CMS及其“教程2.0”模块的系统。教程模块通常允许用户提交HTML/BBcode格式的文件到网站。通过PHP内置上传器支持本地图像文件的上传。然而,用户可以通过这个上传器上传非图像MIME类型的文件(例如PHP脚本),并通过发送简单HTTP请求来执行它们。根据httpd运行下的权限和PHP解析器的配置,这种方式可能会使远程机器上的敏感系统文件遭到检索,甚至删除!
最佳解决方案:更新到版本2.1,其中在上传之前包含了MIME文件类型检查。
其他可能的解决方案:将/images/目录的权限更改为555
在Xoops 1.3.10上测试
有更新:是的,在
http://www.mytutorials.info/modules/mydownloads
致谢
ac3 (
[email protected]
)
GUSG Team
http://www.hack-box.com
,
http://www.security-lab.org
特此感谢Violator进行测试。
评分 0/5
评分:
0
/5(0票)
投票已禁用!
同一作者的文章
Flat
Threaded
Nested
Oldest First
Newest First
Login
Username
Password
Remember me
Reset
Search
Advanced Search
Recent Comments
Re: New Admin Theme for XOOPS (Beta)
Publisher
Bleekk
06/03/2024 18:53
Re: New Admin Theme for XOOPS (Beta)
Publisher
kakos
05/29/2024 14:51
Re: XOOPS 2.5.11 Final Released
Publisher
HymanSarwar
02/16/2024 5:22
Re: XOOPS 2.5.11 Final Released
Publisher
Mamba
12/31/2023 15:24
Re: XOOPS 2.5.11 Final Released
Publisher
alain01
12/29/2023 10:16
Who's Online
298
user(s) are online (
25
user(s) are browsing
Publisher
)
Members: 0
Guests: 298
more...
Donat-O-Meter
Stats
Goal:
$100.00
Due Date:
Aug 31
Gross Amount:
$0.00
Net Balance:
$0.00
Left to go:
$100.00
Latest GitHub Commits
{{ record.sha.slice(0, 7) }} -
{{ record.commit.message | truncate }}
{{ record.commit.author.name }}
{{ record.commit.author.date | formatDate }}
Categories
XOOPS
Newsletter