Phorum common.php远程文件包含漏洞

CNNVD-ID编号 CNNVD-200603-192
CVE编号 CVE-2006-1152
发布时间 2006-03-10
更新时间 2006-03-13
漏洞类型 输入验证
漏洞来源 ERNE erne@ernealizm.com
危险等级 中危
威胁类型 远程
厂 商 m_phorum

漏洞介绍

Phorum是一款基于PHP的WEB论坛程序,可在Linux和Unix操作系统下使用,也可在Microsoft Windows操作系统下使用。

Phorum处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。

Phorum的common.php脚本没有对$PHORUM[\"http_path\"]变量做充分的检查过滤,远程攻击者可能利用此漏洞使Phorum包含远程服务器上的脚本文件执行。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源