Electrictoad SnippetMaster网页编辑器跨站脚本攻击和远程文件包含漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183736 漏洞类型 代码注入
发布时间 2009-02-11 更新时间 2009-02-11
CVE编号 CVE-2009-0530 CNNVD-ID CNNVD-200902-277
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/79596
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200902-277
|漏洞详情
SnippetMaster是一款简单易用的免费网站内容编辑工具。SnippetMaster2.2.2版本存在多个PHP远程文件包含漏洞。当register_globals被激活时,远程攻击者可以借助一个对includes/vars.inc.php的_SESSION[SCRIPT_PATH]参数和对includes/tar_lib/pcltar.lib.php的g_pcltar_lib_dir参数中的一个URL,执行任意的PHP代码。
|受影响的产品
Electrictoad Snippetmaster Webpage Editor 2.2.2
|参考资料

来源:BID
名称:33705
链接:http://www.securityfocus.com/bid/33705
来源:MILW0RM
名称:8017
链接:http://www.milw0rm.com/exploits/8017
来源:SECUNIA
名称:33865
链接:http://secunia.com/advisories/33865