VULHUB ™

Achievo是一款基于WEB的用于商业环境的项目管理工具。 Achievo中的class.atkdateattribute.js.php脚本在包含文件时没有正确验证包含文件路径，远程攻击者可以利用这个漏洞以Achievo用户权限在系统上执行任意命令。 Achievo中的atk/javascript/class.atkdateattribute.js.php脚本用于生成JavaScript代码，这个文件包含5个include_once变量，用于装载配置数据和功能函数，但引用包含文件时没有对文件路径进行正确检查，攻击者只要在自己控制的服务器上提供包含恶意代码的文件，并请求包含文件指向恶意代码所在的服务器，就可以导致任意命令以Achievo进程权限在系统上执行。

Achievo是一款基于WEB的用于商业环境的项目管理工具。 Achievo中的class.atkdateattribute.js.php脚本在包含文件时没有正确验证包含文件路径，远程攻击者可以利用这个漏洞以Achievo用户权限在系统上执行任意命令。 Achievo中的atk/javascript/class.atkdateattribute.js.php脚本用于生成JavaScript代码，这个文件包含5个include_once变量，用于装载配置数据和功能函数，但引用包含文件时没有对文件路径进行正确检查，攻击者只要在自己控制的服务器上提供包含恶意代码的文件，并请求包含文件指向恶意代码所在的服务器，就可以导致任意命令以Achievo进程权限在系统上执行。