PHPShop远程PHP脚本执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201684 漏洞类型 输入验证
发布时间 2004-05-10 更新时间 2006-09-28
CVE编号 CVE-2004-2010 CNNVD-ID CNNVD-200412-350
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-350
|漏洞详情
phpShop是一款基于WEB的电子商务程序。phpShop对用户通过URI,POST或COOKIE参数提供的数据缺少充分过滤,远程攻击者可以利用这个漏洞以WEB权限执行任意命令。Phpshop对用户提供给'$base_dir'变量缺少充分过滤,攻击者可以指定自己控制服务器上的文件在作为'$base_dir'变量数据,可能以WEB进程权限执行恶意文件包含的任意代码。
|参考资料

来源:SECUNIA
名称:11587
链接:http://secunia.com/advisories/11587
来源:XF
名称:phpshop-basedir-file-include(16107)
链接:http://xforce.iss.net/xforce/xfdb/16107
来源:BID
名称:10313
链接:http://www.securityfocus.com/bid/10313
来源:www.fribble.net
链接:http://www.fribble.net/advisories/phpshop_29-04-04.txt
来源:BUGTRAQ
名称:20040509ArbitrarycodeinclusioninphpShop
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108420702317870&w=2
来源:NSFOCUS
名称:6428
链接:http://www.nsfocus.net/vulndb/6428