Softnews Media Group DataLife Engine 'engine/modules/imagepreview.php' 跨站请求伪造漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183393 漏洞类型 跨站请求伪造
发布时间 2009-03-16 更新时间 2009-03-16
CVE编号 CVE-2008-6480 CNNVD-ID CNNVD-200903-275
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/84547
https://cxsecurity.com/issue/WLB-2009030182
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-275
|漏洞详情
DataLifeEngine是多用户新闻游标用于组织在因特网上的传播各种新闻媒体,并可以实现新闻条目和内容的编辑和发布。Datalife引擎6.7版本的engine/modules/imagepreview.php中存在跨站请求伪造漏洞。远程攻击者通过对运行一个修改过的图像参数的请求,劫持任意用户的认证权限。
|漏洞EXP
########################################################################
#############

####                  Datalife Engine 6.7 XSRF Vulnerability                     ####

####                               By IRCRASH                                    ####

########################################################################
#############

#                                                                                   #

#Discovered by : IRCRASH (R3d.w0rm)                                                 #

#IRCRASH Team Members : Dr.Crash - Malc0de - R3d.w0rm                               #

#                                                                                   #

########################################################################
#############

#                                                                                   #

#Script Download : http://datalifecms.ir/download/DatalifeEngine6.7.zip

#                                                                                   #

########################################################################
#############

#                             XSRF                                                  #

#XSRF Address : http://site.com/datalife-path/engine/modules/imagepreview.php?image=[XSR
F]

#                                                                                   #

########################################################################
#############

#                         Our site : Http://IRCRASH.COM                             #

########################################################################
#############
|受影响的产品
Softnews Media Group DataLife Engine 6.7
|参考资料

来源:XF
名称:datalifeengine-imagepreview-csrf(41598)
链接:http://xforce.iss.net/xforce/xfdb/41598
来源:BUGTRAQ
名称:20080401DatalifeEngine6.7XSRF
链接:http://www.securityfocus.com/archive/1/archive/1/490372/100/0/threaded
来源:OSVDB
名称:51107
链接:http://osvdb.org/51107