ZeroBox Vulnerability Database

漏洞起因
本地文件包含
危险等级
低

影响系统
vBulletin 4.1.10

不受影响系统

危害
远程攻击者可以利用漏洞以WEB权限查看系统文件。

攻击所需条件
攻击者必须访问vBulletin。

漏洞信息
vBulletin是一款基于PHP的论坛程序。
vBulletin “Patch/includes/functions_cron.php”不正确过滤用户提交的’nextitem’参数，攻击者可以提交恶意参数，可以WEB权限查看系统文件。

测试方法
ttp://www.example.com/Patch/includes/functions_cron.php?nextitem=[Lfi]

厂商解决方案
目前没有详细解决方案提供：
http://www.vbulletin.org/forum/portal.php

漏洞提供者
Am!r