W-Agora 多个输入验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191239 漏洞类型 输入验证
发布时间 2007-03-22 更新时间 2007-03-26
CVE编号 CVE-2007-1605 CNNVD-ID CNNVD-200703-555
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200703-555
|漏洞详情
w-Agora(Web-Agora)允许远程攻击者借助一个对包含有无效的(1)站点或(2)bn参数,(3)site[]参数的特定值或(4)bn[]参数的一个空值的请求,对index.php的包含有(5)site[]或(6)sort[]参数的特定值的请求;对profile.php的包含有site[]参数的空值的请求;或对search.php的包含有bn[]参数的空值或(9)pattern[]或(10)search_date[]参数的特定值,获得敏感信息。这会在不同的错误信息中显示路径。注意:提交到index.php的bn[]参数已经被CVE-2007-0606.1覆盖。
|参考资料

来源:BID
名称:23057
链接:http://www.securityfocus.com/bid/23057
来源:BUGTRAQ
名称:20070320w-agora[multiplesfileupload,xss,fullpathdisclosure,errorsql]
链接:http://www.securityfocus.com/archive/1/archive/1/463286/100/0/threaded
来源:SECUNIA
名称:24605
链接:http://secunia.com/advisories/24605
来源:OSVDB
名称:34382
链接:http://osvdb.org/34382
来源:OSVDB
名称:34381
链接:http://osvdb.org/34381
来源:OSVDB
名称:34380
链接:http://osvdb.org/34380
来源:XF
名称:wagora-multiple-path-disclosure(33174)
链接:http://xforce.iss.net/xforce/xfdb/33174
来源:SREASON
名称:2462
链接:http://securityreason.com/securityalert/2462