phpBB2 highlight变量二次解码导致远程命令执行漏洞 CVE-2004-1315 CNNVD-200411-035 CNVD-2009-07110

7.5 AV AC AU C I A
发布: 2004-11-12
修订: 2017-07-11

phpBB是一款由PHP编写的WEB论坛应用程序,支持多种数据库系统,可使用在多种Unix和Linux操作系统下。 phpBB对highlight变量不正确的二次解码导致远程攻击者可以注入PHP代码执行系统命令。 由于phpBB的URL解码会把\\%2527转换成\\%27(单引号),并没有追加\'\'\\'\'号的,因此可以注入PHP代码执行系统命令。

0%

漏洞利用/PoC

当前有8条漏洞利用/PoC

受影响的平台与产品

当前有29条受影响产品信息