OurPHP服务器端存在请求伪造漏洞(CNVD-2016-06041)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2016-06-30漏洞描述
OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。 OurPHP(傲派建站系统)的管理后台“全局/界面”模块下的上传文件管理模块具有隐藏的远程文件下载功能,由于未对下载文件的扩展名进行安全检查,攻击者可以在登录管理后台后通过指定URL从远端下载任意文件到服务器指定目录中,还可以通过此漏洞以服务器为跳板访问内网其它服务器,甚至是未对互联网开放的内网应用;另外,还可利用此漏洞读取服务器上的任意文件。解决建议
限制远程下载文件的扩展名和资源类型。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2016-06041 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论