微点交流论坛

标题: Sciurus Hosting Panel可绕过安全限制并执行PHP代码 [打印本页]

作者: pioneer 时间: 2007-11-21 09:22 标题: Sciurus Hosting Panel可绕过安全限制并执行PHP代码

来源

secunia.com

软件名

Sciurus Hosting Panel 2.x

描述

这可恶意绕过特定的安全限制以及危害有漏洞的系统

1）acp/savenews.php脚本没有限制登录用户可在没有有效用户认证的情况下改变新闻

2） acp/savenews.php中输入的"filecontents"参数在includes/news.php中保存前没有被准确过滤，这可用来注入并执行任意代码

该漏洞在V2.04中已经确认，其它版本可能也受到影响

解决方案

限制访问acp/savenews.php (例如".htaccess").

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn