Nodesform多个PHP远程文件包含漏洞

CNNVD-ID编号 CNNVD-201004-170
CVE编号 CVE-2010-1351
发布时间 2010-04-12
更新时间 2010-04-13
漏洞类型 代码注入
漏洞来源 N/A
危险等级 中危
威胁类型 远程
厂 商 nodesforum

漏洞介绍

Nodesform 1.033和1.045中存在多个PHP远程文件包含漏洞。当register_globals被启用时,远程攻击者可以通过多个脚本参数中的URL执行任意PHP代码,包括:

(1) 脚本erase_user_data.php中参数_nodesforum_path_from_here_to_nodesforum_folder;

(2) 脚本pre_output.php中参数_nodesforum_code_path;

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源