YouTube Blog 'base_archivo'参数文件包含漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186176 漏洞类型 代码注入
发布时间 2008-07-25 更新时间 2009-01-29
CVE编号 CVE-2008-3308 CNNVD-ID CNNVD-200807-398
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-398
|漏洞详情
YouTubeBlog是包含有有关YouTube新闻及社区内容的网络博客。cuenta/cuerpo.php文件中没有正确地验证对base_archivo参数的输入便用于包含文件,允许远程攻击者包含本地或外部资源的任意文件。成功利用这个漏洞要求打开了register_globals。
|参考资料

来源:XF
名称:youtubeblog-cuerpo-file-include(43952)
链接:http://xforce.iss.net/xforce/xfdb/43952
来源:BID
名称:30345
链接:http://www.securityfocus.com/bid/30345
来源:MILW0RM
名称:6117
链接:http://www.milw0rm.com/exploits/6117
来源:SREASON
名称:4037
链接:http://securityreason.com/securityalert/4037
来源:SECUNIA
名称:31161
链接:http://secunia.com/advisories/31161