OurPHP服务器端存在请求伪造漏洞(CNVD-2016-06041)

admin 2023-12-25 12:36:32 Ali_nonvd 来源:ZONE.CI 全球网 0 阅读模式
OurPHP服务器端存在请求伪造漏洞(CNVD-2016-06041)

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2016-06-30
漏洞描述
OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。 OurPHP(傲派建站系统)的管理后台“全局/界面”模块下的上传文件管理模块具有隐藏的远程文件下载功能,由于未对下载文件的扩展名进行安全检查,攻击者可以在登录管理后台后通过指定URL从远端下载任意文件到服务器指定目录中,还可以通过此漏洞以服务器为跳板访问内网其它服务器,甚至是未对互联网开放的内网应用;另外,还可利用此漏洞读取服务器上的任意文件。
解决建议
限制远程下载文件的扩展名和资源类型。
参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2016-06041
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0