VULHUB ™

BUGTRAQ ID: 50331 phpLDAPadmin是基于web的LDAP客户端，允许方便的管理LDAP服务器。 phpLDAPadmin在实现上存在远程PHP代码注入漏洞，攻击者可利用此漏洞在受影响应用程序中注入和执行PHP代码，控制系统。 1）cmd.php中的URL后附加的输入在返回给用户之前没有正确过滤，可被利用在受影响站点用户浏览器中执行任意HTML和脚本代码。 2）cmd.php中的"orderby"参数中传递的输入在用于"create_function()"函数调用之前，没有在lib/functions.php中正确过滤。可被利用注入和执行任意PHP代码。 phpLDAPadmin phpLDAPadmin 1.2.1.1 phpLDAPadmin phpLDAPadmin 1.2 厂商补丁： phpLDAPadmin ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://phpldapadmin.sourceforge.net/

BUGTRAQ ID: 50331 phpLDAPadmin是基于web的LDAP客户端，允许方便的管理LDAP服务器。 phpLDAPadmin在实现上存在远程PHP代码注入漏洞，攻击者可利用此漏洞在受影响应用程序中注入和执行PHP代码，控制系统。 1）cmd.php中的URL后附加的输入在返回给用户之前没有正确过滤，可被利用在受影响站点用户浏览器中执行任意HTML和脚本代码。 2）cmd.php中的"orderby"参数中传递的输入在用于"create_function()"函数调用之前，没有在lib/functions.php中正确过滤。可被利用注入和执行任意PHP代码。 phpLDAPadmin phpLDAPadmin 1.2.1.1 phpLDAPadmin phpLDAPadmin 1.2 厂商补丁： phpLDAPadmin ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://phpldapadmin.sourceforge.net/