INDEXU 多个远程文件包含漏洞

CNNVD-ID编号 CNNVD-200604-218
CVE编号 CVE-2006-1767
发布时间 2006-04-13
更新时间 2006-04-13
漏洞类型 输入验证
漏洞来源 SnIpEr_SA is credited with the discovery of these vulnerabilities.
危险等级 高危
威胁类型 远程
厂 商 nicecoder

漏洞介绍

nicecoder.com INDEXU 5.0.0和5.0.1中存在多个PHP远程文件包含漏洞。这使得远程攻击者可以借助于(1) index.php、(2) become_editor.php、 (3) add.php、(4) bad_link.php、(5) browse.php、 (6) detail.php、 (7) fav.php、 (8) get_rated.php、(9) login.php、(10) mailing_list.php、 (11) new.php、(12) modify.php、 (13) pick.php、(14) power_search.php、(15) rating.php、 (16) register.php、(17) review.php、 (18) rss.php、(19) search.php、(20) send_pwd.php、(21) sendmail.php、 (22) tell_friend.php、(23) top_rated.php、(24) user_detail.php和(25) user_search.php中的 theme_path参数以及(26)invoice.php中的base_path参数执行任意PHP代码。

漏洞补丁

目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:

参考网址

受影响实体

信息来源