受影响系统:
MyBB MyBB 1.4.10
描述:
MyBB是一款流行的Web论坛程序。
在更改用户的头像时MyBB没有正确地过滤avatar参数便用于检查是否存在文件。由于仅在可确认文件存在的情况下才可以成功执行头像更改,这可能允许攻击者通过目录遍历攻击枚举出已有的文件。
<*来源:Ryan Gordon
链接:http://secunia.com/advisories/37906/
http://dev.mybboard.net/issues/617
*>
建议:
厂商补丁:
MyBB
—-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。