CuteNews リモート PHP コード インジェクション実行の脆弱性_PHP チュートリアル

WBOY
リリース: 2016-07-13 17:08:58
オリジナル
1225 人が閲覧しました

Cutenews は、フラット ファイル ストレージを使用する強力なニュース管理システムです。
Cutenews には、ユーザーが送信したリクエスト パラメーターを処理する際に脆弱性があり、リモートの攻撃者がこの脆弱性を悪用してホスト上で任意のコマンドを実行する可能性があります。
CuteNews は、アカウントの管理時やテンプレート ファイルの編集時にユーザー入力を正しくフィルタリングできません。 CuteNews は Web フォームから HTML コードを取得し、それを .tpl という名前のテンプレート ファイルに出力します。テンプレート ファイルには、次のような PHP コードが含まれています。
--snip--
$template_active = <<[HTML テンプレート コード]
HTML;
$template_full = << [HTML テンプレート コード]
HTML;
?>
--snap--
次のテンプレート スクリプトを入力します:
--snip--
HTML;
[PHP コード]
$fake_template = << ; --snap--
管理アカウントは PHP コードを実行でき、ローカル システム上でシェル コマンドが実行されます。
<*出典: John Cantu (

)

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/629809.html技術記事 Cutenews は、フラット ファイル ストレージを使用する強力なニュース管理システムです。 Cutenews には、ユーザーが送信したリクエスト パラメーターを処理する際に脆弱性があり、リモートの攻撃者がこの脆弱性を悪用して...
する可能性があります。
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!