微点交流论坛

标题: ezRecipe-Zee "cfg[prePath]"远程文件包含时的漏洞 [打印本页]

作者: pioneer 时间: 2010-2-24 15:35 标题: ezRecipe-Zee "cfg[prePath]"远程文件包含时的漏洞

来源

secunia.com

软件名

ezRecipe-Zee 0.x

描述

传递到config/config.php 的"cfg[prePath]"参数的输入在用来包含文件前没有正确确认，这可用来从本地或远程资源中包含任意文件
成功执行需要"register_globals"可用
该漏洞在V0.91中已经确认，其它版本可能也受到影响

解决方案

编辑源代码时确保输入准确过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn