Craig Knudsen WebCalendar includes/functions.php文件 任意变量重写漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191377 漏洞类型 设计错误
发布时间 2007-03-06 更新时间 2007-03-21
CVE编号 CVE-2007-1343 CNNVD-ID CNNVD-200703-278
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/22834
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200703-278
|漏洞详情
CraigKnudsenWebCalendar1.0.5之前的版本中的includes/functions.php文件没有保护来自外部修改的noSet变量,这使得远程攻击者可以借助noSet参数中包含有修改过的值的URL,设置任意的全域变量。这会导致漏洞出现和包含远程文件。
|受影响的产品
WebCalendar WebCalendar 0.9.45 k5n WebCalendar 1.0.4 Debian Linux 3.1 sparc Debian Linux 3.1 s/390 Debian Linux 3.1 ppc Debian Linux 3.1 mipsel Debian Li
|参考资料

来源:BID
名称:22834
链接:http://www.securityfocus.com/bid/22834
来源:webcalendar.cvs.sourceforge.net
链接:http://webcalendar.cvs.sourceforge.net/webcalendar/webcalendar/includes/functions.php?view=log
来源:webcalendar.cvs.sourceforge.net
链接:http://webcalendar.cvs.sourceforge.net/webcalendar/webcalendar/includes/functions.php?r1=1.211.2.7&r2=1.211.2.8
来源:sourceforge.net
链接:http://sourceforge.net/project/shownotes.php?group_id=3870&release_id=491130
来源:SECUNIA
名称:24403
链接:http://secunia.com/advisories/24403
来源:XF
名称:webcalendar-noset-variable-overwrite(32832)
链接:http://xforce.iss.net/xforce/xfdb/32832
来源:VUPEN
名称:ADV-2007-0851
链接:http://www.frsirt.com/english/advisories/2007/0851
来源:DEBIAN
名称:DSA-1267
链接:http://www.debian.org/security/2007/dsa-1267
来源:MLIST
名称:[webcalendar-announce]20070304Announce:Release1.0.5(securitypatch)
链接:http://sourceforge.net/mailarchive/forum.php?thread_id=31840112&forum_id=46247
来源:SECUNIA
名称:24519
链接:http://secunia.com/advisories/24519