CRE Loaded Files.PHP访问验证漏洞
| CNNVD-ID编号 | CNNVD-200601-376 | CVE编号 | CVE-2006-0478 |
| 发布时间 | 2006-01-31 | 更新时间 | 2007-01-24 |
| 漏洞类型 | 访问验证错误 | 漏洞来源 | kaneda is credited with the discovery of this vulnerability. |
| 危险等级 | 高危 | 威胁类型 | 远程 |
| 厂商 | cre_loaded | ||
漏洞介绍
CRE Loaded 6.15访问验证漏洞,远程攻击者可以通过直接请求files.php执行具有特权的操作,包括上传和创建任意文件。注意:供应商声称\"在我们的网站上最初已公布了此风险...并且网站上还提供了补丁程序,将用于关闭所有已知6.0x和6.1x发行版上的漏洞。我们强烈建议已安装基于HTMLArea的WYSIWYG编辑器和Admin Access with Levels的CRE Loaded 6.x、osCMax和其他osCommerce用户尽早修改安装\"。
漏洞补丁
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Chain Reaction Edition CRE Loaded 6.1
Chain Reaction Edition CRE Loaded 6.2
http://creloaded.com/Downloads/d_op=getit/lid=172.html
Chain Reaction Edition CRE Loaded 6.15
Chain Reaction Edition CRE Loaded 6.2
http://creloaded.com/Downloads/d_op=getit/lid=172.html
Chain Reaction Edition CRE Loaded 6.0
Chain Reaction Edition CRE Loaded 6.2
http://creloaded.com/Downloads/d_op=getit/lid=172.html
参考网址
来源: BID
名称: 16415
链接:http://www.securityfocus.com/bid/16415
来源: VUPEN
名称: ADV-2006-0373
链接:http://www.frsirt.com/english/advisories/2006/0373
来源: SECUNIA
名称: 18648
链接:http://secunia.com/advisories/18648
来源: XF
名称: creloaded-files-auth-bypass(24377)
链接:http://xforce.iss.net/xforce/xfdb/24377
来源: OSVDB
名称: 22793
受影响实体
Cre_loaded Cre_loaded:6.15信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200601-376
评论