FarsiNews Loginout.PHP远程文件包含漏洞

CNNVD-ID编号	CNNVD-200602-011
CVE编号	CVE-2006-0502
发布时间	2006-02-01
更新时间	2006-02-03
漏洞类型	输入验证
漏洞来源	Hamid Ebadi is credited with the discovery of this vulnerability.
危险等级	高危
威胁类型	远程
厂商	farsinews

漏洞介绍

FarsiNews 2.1 Beta 2及更早版本的loginout.php中存在PHP 远程文件包含漏洞。远程攻击者可以在启用了register_globals的情况下通过cutepath参数中的URL包含任意文件。

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本。

来源: BID

名称: 16440

链接：http://www.securityfocus.com/bid/16440
来源: BUGTRAQ

名称: 20060131 FarsiNews 2.1 PHP Remote File Inclusion

链接：http://www.securityfocus.com/archive/1/archive/1/423568/100/0/threaded
来源: MISC

链接：http://www.hamid.ir/security/farsinews.txt
来源: XF

名称: farsinews-loginout-file-include(24419)

链接：http://xforce.iss.net/xforce/xfdb/24419
来源: OSVDB

名称: 22878

链接：http://www.osvdb.org/22878
来源: VUPEN

名称: ADV-2006-0411

链接：http://www.frsirt.com/english/advisories/2006/0411
来源: SECTRACK

名称: 1015554

链接：http://securitytracker.com/id?1015554
来源: SREASON

名称: 390

链接：http://securityreason.com/securityalert/390