漏洞信息 ImageVue是一款基于PHP的FLASH管理程序。 ImageVue上传脚本对用户提交的文件缺少正确处理,远程攻击者可以利用漏洞上传恶意文件并执行。 由于文件脚本对上传文件的扩展缺少正确过滤。可上传文件到文件夹并执行。 另外存在可查看目录列表等问题。 BUGTRAQ ID: 16594 CNCAN ID:CNCAN-2006021309 漏洞消息时间:2006-02-11 漏洞起因 访问验证错误 影响系统 ImageVue 0.16.1 危害 远程攻击者可以利用漏洞上传恶意文件并执行。 攻击所需条件 攻击者必须访问ImageVue。 测试方法 http://[target]/admin/upload.php?path=../[foldername] http://[target]/readfolder.php?path=[path]&ext=[extension] 厂商解决方案 目前没有解决方案提供,请关注以下链接: http://www.imagevuex.com/ 漏洞提供者
[email protected] 漏洞消息链接 http://marc.theaimsgroup.com/?l=bugtraq&m=113970018126424&w=2 漏洞消息标题 imageVue16.1 upload vulnerability
(出处:http://www.sheup.com)