| CJ Tag Board PHP远程代码注入漏洞 |
|
| (时间:2006-8-31 10:43:39 共有
人次浏览) |
| |
受影响系统:
CJ Website Design CJ Tag Board 3.0
描述:
CJ Tag Board是一款简单易用的网站管理脚本。
CJ Tag Board中存在两个输入验证错误,可能允许恶意攻击者完全入侵有漏洞的系统:
1) 在存储前没有正确过滤对tag.php中User-Agent HTTP头的输入,允许注入任意PHP代码。当用户请求all.php脚本时就会执行这些代码。
2) 在存储前没有正确过滤对admin_index.php中banned参数的输入,允许注入任意PHP代码。但利用这个漏洞需要管理用户权限。
<*来源:Secunia
链接:http://secunia.com/secunia_research/2006-61/advisory/
*>
建议:
厂商补丁:
CJ Website Design
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cj-design.com/products/free_downloads/php_scripts/cjtagboard
|
|
|
| 本信息真实性未经全球安全联盟证实,仅供您参考。未经许可,不得转载。 |
 打印该页 |
| |
|
您当前位置: 全球安全联盟首页 >> 安全资讯 >>
漏洞资讯
>> 查看资讯信息 
商机资讯订阅
