VULHUB ™

fuzzylime是一个内容管理系统，是建立各种规模站点的理想系统。 fuzzylime的code/confirm.php模块没有正确验证对list参数所提供的输入，code/display.php模块没有正确验证对template参数所提供的输入，远程攻击者可以包含本地资源的任意文件。以下是有漏洞的代码段： confirm.php ----------------------------------------------------------------- 1. <? 2. @extract($HTTP_GET_VARS); 3. @extract($_GET); 27.elseif(isset($e)) { 28. $filename = "code/mailing/$list.inc.php"; 29.@include $filename; ----------------------------------------------------------------- display.php -------------------------------------------------------------------- 98. if($_GET['print'] != "1") include "templates/${template}_f.php"; -------------------------------------------------------------------- 成功利用这些漏洞要求禁用了magic_quotes_gpc。

fuzzylime是一个内容管理系统，是建立各种规模站点的理想系统。 fuzzylime的code/confirm.php模块没有正确验证对list参数所提供的输入，code/display.php模块没有正确验证对template参数所提供的输入，远程攻击者可以包含本地资源的任意文件。以下是有漏洞的代码段： confirm.php ----------------------------------------------------------------- 1. <? 2. @extract($HTTP_GET_VARS); 3. @extract($_GET); 27.elseif(isset($e)) { 28. $filename = "code/mailing/$list.inc.php"; 29.@include $filename; ----------------------------------------------------------------- display.php -------------------------------------------------------------------- 98. if($_GET['print'] != "1") include "templates/${template}_f.php"; -------------------------------------------------------------------- 成功利用这些漏洞要求禁用了magic_quotes_gpc。