漏洞起因
输入验证错误
危险等级
中
影响系统
SMF 2.0.4
不受影响系统
危害
远程攻击者利用漏洞可以WEB权限上下文执行任意PHP代码。
CVSSv2:
攻击所需条件
攻击者必须访问SMF。
漏洞信息
SMF是一款开源论坛程序。
SMF ‘index.php’不正确过滤用户提交的输入,允许远程攻击者利用漏洞提交特殊请求注入恶意PHP代码,可以WEB权限上下文执行。
测试方法
‘.$page;
curl_close($ch); // to close ‘logged-in’ part
?>
厂商解决方案
目前没有详细解决方案提供:
http://www.simplemachines.org/
漏洞提供者
Jakub Galczyk
评论关闭。