微点交流论坛

标题: Tizag Countdown Creator上传文件时的漏洞 [打印本页]

作者: pioneer 时间: 2009-1-5 17:09 标题: Tizag Countdown Creator上传文件时的漏洞

来源

secunia.com

软件名

Tizag Countdown Creator 3.x

描述

由于process.php脚本对于上传的图片类型验证失败，这可导致上传任意参数的文件(例如".php")并且在server上执行任意php嗲吗
该漏洞在V3.0下已经确认，其他版本可能也受到影响

解决方案

编辑源代码时确保输入充分过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn