VULHUB ™

dobermann FORUM是一款由PHP编写基于WEB的论坛程序。 dobermann FORUM中部分脚本不正确使用Include()函数，远程攻击者可以利用这个漏洞包含远程服务器上的任意文件，导致文件中的代码以WEB进程权限执行。 论坛中entete.php，enteteacceuil.php，topic/entete.php脚本使用了如下代码： ＜?php @include $$subpath.\"banniere.php \"; ＞ 但是没有对变量$$subpath进行定义，攻击者可以在自己控制的服务器上建立包含恶意PHP代码的文件，通过$$subpath变量包含远程服务器上的文件，可以导致以WEB进程权限执行文件中的PHP代码。

dobermann FORUM是一款由PHP编写基于WEB的论坛程序。 dobermann FORUM中部分脚本不正确使用Include()函数，远程攻击者可以利用这个漏洞包含远程服务器上的任意文件，导致文件中的代码以WEB进程权限执行。 论坛中entete.php，enteteacceuil.php，topic/entete.php脚本使用了如下代码： ＜?php @include $$subpath.\"banniere.php \"; ＞ 但是没有对变量$$subpath进行定义，攻击者可以在自己控制的服务器上建立包含恶意PHP代码的文件，通过$$subpath变量包含远程服务器上的文件，可以导致以WEB进程权限执行文件中的PHP代码。