VULHUB ™

BUGTRAQ ID: 33787 RavenNuke是基于PHP和MySQL的自动新闻发布和内容管理系统。 RavenNuke的avatarlist.php模块没有正确地验证对preg_replace()调用所传送的patterns和replacements参数，远程攻击者可以通过向服务器提交恶意请求导致注入并执行任意PHP代码。以下是有漏洞的代码段： $patterns[0] = '/\.gif/'; $patterns[1] = '/\.png/'; ... $replacements[1] = ''; $replacements[0] = ''; ... $entryname = preg_replace($patterns, $replacements, $entry); RavenNuke 2.30 厂商补丁： Raven ----- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://ravenphpscripts.com/ target=_blank rel=external nofollow>http://ravenphpscripts.com/</a>

BUGTRAQ ID: 33787 RavenNuke是基于PHP和MySQL的自动新闻发布和内容管理系统。 RavenNuke的avatarlist.php模块没有正确地验证对preg_replace()调用所传送的patterns和replacements参数，远程攻击者可以通过向服务器提交恶意请求导致注入并执行任意PHP代码。以下是有漏洞的代码段： $patterns[0] = '/\.gif/'; $patterns[1] = '/\.png/'; ... $replacements[1] = ''; $replacements[0] = ''; ... $entryname = preg_replace($patterns, $replacements, $entry); RavenNuke 2.30 厂商补丁： Raven ----- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://ravenphpscripts.com/ target=_blank rel=external nofollow>http://ravenphpscripts.com/</a>