VULHUB ™

BUGTRAQ ID: 33167 Cutenews是一款功能强大的新闻管理系统，使用平坦式文件存储。 Cutenews的index.php文件没有正确地验证对mod参数的输入便返回给了用户，这允许攻击者执行跨站脚本攻击；此外在阻断IP地址时没有正确的验证对add_ip参数的输入便储存在了data/ipban.db.php文件中，这可能导致注入并执行任意PHP代码。成功利用这个漏洞要求管理权限且禁用了.htaccess文件支持。 CutePHP CuteNews 1.4.6 厂商补丁： CutePHP ------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href=www.CutePHP.com. target=_blank rel=external nofollow>www.CutePHP.com.</a>

BUGTRAQ ID: 33167 Cutenews是一款功能强大的新闻管理系统，使用平坦式文件存储。 Cutenews的index.php文件没有正确地验证对mod参数的输入便返回给了用户，这允许攻击者执行跨站脚本攻击；此外在阻断IP地址时没有正确的验证对add_ip参数的输入便储存在了data/ipban.db.php文件中，这可能导致注入并执行任意PHP代码。成功利用这个漏洞要求管理权限且禁用了.htaccess文件支持。 CutePHP CuteNews 1.4.6 厂商补丁： CutePHP ------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href=www.CutePHP.com. target=_blank rel=external nofollow>www.CutePHP.com.</a>