VULHUB ™

BUGTRAQ ID: 30330 CNCAN ID：CNCAN-2008072303 XOOPS是一款基于PHP的内容管理系统。 XOOPS不正确处理用户提交的输入，远程攻击者可以利用漏洞以WEB权限查看系统文件内容或获得目标用户敏感信息。 问题由于'admin.php'脚本对用户提交给'fct'参数缺少过滤，提交包含多个'../'字符作为参数数据，可绕过WEB ROOT限制，以WEB权限查看系统文件内容。 另外'admin.php'脚本相关'fct'参数存在跨站脚本问题，可获得目标用户敏感信息。 Xoops 2.0.18 1 目前没有解决方案提供： <a href=http://sourceforge.net/projects/xbr/ target=_blank>http://sourceforge.net/projects/xbr/</a>

BUGTRAQ ID: 30330 CNCAN ID：CNCAN-2008072303 XOOPS是一款基于PHP的内容管理系统。 XOOPS不正确处理用户提交的输入，远程攻击者可以利用漏洞以WEB权限查看系统文件内容或获得目标用户敏感信息。 问题由于'admin.php'脚本对用户提交给'fct'参数缺少过滤，提交包含多个'../'字符作为参数数据，可绕过WEB ROOT限制，以WEB权限查看系统文件内容。 另外'admin.php'脚本相关'fct'参数存在跨站脚本问题，可获得目标用户敏感信息。 Xoops 2.0.18 1 目前没有解决方案提供： <a href=http://sourceforge.net/projects/xbr/ target=_blank>http://sourceforge.net/projects/xbr/</a>