phpwcms存在远程执行代码和mail表格跨过安全设置漏洞
-
AV
AC
AU
C
I
A
发布:
2025-04-13
修订:
2025-04-13
多重弱点就已phpwcms,远程攻击者可以利用来执行任意指令或绕过安全限制. 第一个问题是:由于输入错误的验证"phpwcms_code_snippets/mail_file_form.phP"字剧本并不妥当验证"nome_evento","text_evento"、"email_evento"参数,然后通过"render_phpcode()"功能远程攻击者可以利用注入和执行PHP的任意特权代码与Web服务. 第二个错误是由于错误的"包括/inc_act/act_formmailer.php"、"sample_ext_php/mail_file_form.php"剧本不验证"referer"HTTP的头、可以任意宰割袭击者送电子邮件和滥发电邮伺服器透过脆弱. phpwcms version 1.2.5-DEV and prior phpwcms version 1.1-RC4 and prior <a href="http://www.phpwcms.org/support/patchSecure20060425_phpwcms_1.2.x.zip" target="_blank">http://www.phpwcms.org/support/patchSecure20060425_phpwcms_1.2.x.zip</a>
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有0条受影响产品信息
