webSPELL <= 4.2.0e (page) Remote... CVE-2009-1912 CNNVD-200906-061
6.8
AV
AC
AU
C
I
A
发布:
2009-06-04
修订:
2017-09-29
webSPELL 4.2.0e版本及其早期版本的src/func/language.php中存在目录遍历漏洞。远程攻击者可以借助一个语言cookie中的一个..(参数中包含'..'),包含和运行任意本地.php文件。注意:该漏洞可以通过包含awards.php进一步扩大为SQL注入漏洞。
漏洞利用/PoC
当前有2条漏洞利用/PoC
受影响的平台与产品
当前有11条受影响产品信息
