CNNVD-ID编号 | CNNVD-200611-102 |
CVE编号 | CVE-2006-5764 |
发布时间 | 2006-10-28 |
更新时间 | 2007-08-08 |
漏洞类型 | 代码注入 |
漏洞来源 | Kacper kacper1964@yahoo.pl |
危险等级 | 高危 |
威胁类型 | 远程 |
厂 商 | free_php_scripts |
Free File Hosting是一个免费的PHP脚本,可以为网站提供文件上传服务。
Free File Hosting处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。
Free File Hosting的forgot_pass.php、login.php、register.php和send.php脚本没有正确验证AD_BODY_TEMP参数的输入,攻击者通过包含本地或外部资源的任意文件导致执行任意PHP代码。成功攻击要求打开了register_globals。
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.free-php-scripts.net/P/Free_File_Hosting
来源: XF
名称: freefile-forgot-file-include(29874)
来源: BID
名称: 23118
来源: BUGTRAQ
名称: 20070324 File Upload System V1.0 (AD_BODY_TEMP) multiple file include
链接:http://www.securityfocus.com/archive/1/archive/1/463707/100/0/threaded
来源: VUPEN
名称: ADV-2006-4228