Kietu hit.php远程文件包含漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203071 漏洞类型 输入验证
发布时间 2003-02-15 更新时间 2003-12-31
CVE编号 CVE-2003-1402 CNNVD-ID CNNVD-200312-333
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-333
|漏洞详情
Kietu是一款由PHP编写的程序。Kietu对用户提交的请求缺少正确检查,远程攻击者可以利用这个漏洞包含远程服务器上的文件,以WEB进程权限执行文件中包含的任意代码。hit.php文件中包含如下代码:require($url_hit."config.php");由于没有对$url_hit变量没有预先定义,因此可以通过全局注入来进行变量定义,攻击者可以指定远程系统中的PHP文件作为参数提交给$url_hit变量,可导致以WEB进程权限执行PHP文件中包含的恶意代码。
|参考资料

来源:XF
名称:kietu-hit-file-include(11341)
链接:http://xforce.iss.net/xforce/xfdb/11341
来源:BID
名称:6863
链接:http://www.securityfocus.com/bid/6863
来源:SECUNIA
名称:10754
链接:http://secunia.com/advisories/10754
来源:VULNWATCH
名称:20030215Kietu(PHP)
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0071.html
来源:OSVDB
名称:3777
链接:http://www.osvdb.org/3777
来源:NSFOCUS
名称:4403
链接:http://www.nsfocus.net/vulndb/4403