| CNNVD-ID编号 | CNNVD-200806-155 |
| CVE编号 | CVE-2008-2650 |
| 发布时间 | 2008-05-31 |
| 更新时间 | 2009-04-14 |
| 漏洞类型 | 路径遍历 |
| 漏洞来源 | irk4z irk4z@yahoo.pl |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | cmsimple |
CMSimple是丹麦软件开发者Peter Andreas Harteg所研发的一套基于PHP的小型网站内容管理工具。该工具支持所见即所得编辑器、文件自动备份和多种语言等。
CMSimple的index.php脚本中没有正确地过滤对sl参数的输入便用于包含本地文件;index.php脚本没有正确地限制对登录用户的访问,可能导致上传任意文件并执行任意PHP代码。成功利用这些漏洞要求打开了register_globals。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.cmsimple.org/?Downloads:Security_fix
来源: XF
名称: cmsimple-index-file-include(42792)
来源: XF
名称: cmsimple-index-file-upload(42793)
来源: BID
名称: 29450
来源: MILW0RM
名称: 5700
来源: www.cmsimple.com
来源: SECUNIA
名称: 30463