Bugraq ID: 37312 CVE ID:CVE-2009-4137 Piwik是一款开源的WEB统计系统。 Piwik unserializes()用户输入允许攻击者发送特殊构建的cookie,可导致以应用程序权限执行任意PHP代码。 Piwik从cookie中获得数据进行unserialize()操作,通过反序列化部分Piwik的对象,可覆盖WEB服务上可写目录下的任意文件,攻击者借此可用于上传任意PHP文件并以WEB权限执行。 Piwik 0.2.32 Piwik 0.4 Piwik 0.3 Piwik 0.5已经修复此漏洞,建议用户下载使用: http://piwik.org/blog/2009/12/piwik-response-to-shocking-news-in-php-exploitation/
Bugraq ID: 37312 CVE ID:CVE-2009-4137 Piwik是一款开源的WEB统计系统。 Piwik unserializes()用户输入允许攻击者发送特殊构建的cookie,可导致以应用程序权限执行任意PHP代码。 Piwik从cookie中获得数据进行unserialize()操作,通过反序列化部分Piwik的对象,可覆盖WEB服务上可写目录下的任意文件,攻击者借此可用于上传任意PHP文件并以WEB权限执行。 Piwik 0.2.32 Piwik 0.4 Piwik 0.3 Piwik 0.5已经修复此漏洞,建议用户下载使用: http://piwik.org/blog/2009/12/piwik-response-to-shocking-news-in-php-exploitation/