PHPProjekt本地文件可读取漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204415 漏洞类型 输入验证
发布时间 2002-04-25 更新时间 2005-10-20
CVE编号 CVE-2002-1759 CNNVD-ID CNNVD-200212-431
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-431
|漏洞详情
PHPProjekt是一款免费开放源代码PHP组件程序,由PHPProjektDevelopmentTeam开发和维护,可使用在Unix和Linux操作系统下,也可使用在MicrosoftWindows操作系统下。PHPProjekt在处理相关上载函数的变量时存在漏洞,可导致远程攻击者以httpd进程的权限在目标系统上执行任意命令。系统中部分脚本没有正确检查用户提交给上载函数变量中的数据,或者没有检查它们是否是正常的POST数据,攻击者可提交本地系统上的文件(如/etc/passwd)作为上载函数变量数据,导致可以以httpd进程的权限查看系统上任意文件信息。
|参考资料

来源:XF
名称:phprojekt-upload-read-files(8944)
链接:http://xforce.iss.net/xforce/xfdb/8944
来源:BID
名称:4597
链接:http://www.securityfocus.com/bid/4597
来源:BUGTRAQ
名称:20020424PHProjektmultiplevulnerabilities
链接:http://archive.cert.uni-stuttgart.de/archive/bugtraq/2002/04/msg00361.html
来源:NSFOCUS
名称:2675
链接:http://www.nsfocus.net/vulndb/2675