CNNVD-ID编号 | CNNVD-200604-210 |
CVE编号 | CVE-2006-1551 |
发布时间 | 2006-04-13 |
更新时间 | 2006-04-14 |
漏洞类型 | 输入验证 |
漏洞来源 | N/A |
危险等级 | 高危 |
威胁类型 | 远程 |
厂 商 | georges_auberger |
PAJAX是一个使用JavaScript创建远程PHP对象的框架系统。
PAJAX的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。
PAJAX的pajax_call_dispatcher.php脚本对用户提交的POST参数没有做充分的检查过滤,可能由此执行嵌入其中的PHP代码。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://download.auberger.com/pajax-0.5.2.zip
来源: MISC
链接:http://www.redteam-pentesting.de/advisories/rt-sa-2006-001.php
来源: XF
名称: pajax-pajaxcalldispatcher-code-execution(25859)
来源: BID
名称: 17519
来源: BUGTRAQ
名称: 20060413 PAJAX Remote Code Injection and File Inclusion Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/431029/100/0/threaded
来源: OSVDB
名称: 24618
来源: VUPEN
名称: ADV-2006-1353
来源: SECUNIA
名称: 19653