微点交流论坛

标题: LANAI CMS多个文件扩展名的漏洞 [打印本页]

作者: pioneer 时间: 2008-5-20 16:08 标题: LANAI CMS多个文件扩展名的漏洞

来源

secunia.com

软件名

LANAI CMS 1.x

描述

当一个文件有多个扩展名时，在include/fckeditor/editor/filemanager/upload/php/upload.php中处理文件上传时存在错误，这可导致在web root中上传恶意的脚本文件
成功执行需要特定的服务器配置（例如Apache server上要安装"mod_mime"模块）

解决方案

限制对"include/fckeditor/editor/filemanager/upload/php/upload.php" 脚本的访问(例如".htaccess").

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn