MiniBill Config[Plugin_Dir]参数远程文件包含漏洞
来源:岁月联盟
时间:2006-09-01
Ultrize LLC MiniBill v1.22 Beta
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19568
MiniBill是用PHP编写的ISP计费软件。
MiniBill处理用户请求时存在输入验证漏洞,远程安全者可能利用此漏洞在服务器上以Web进程权限执行任意命令。
MiniBill的actions/ipn.php脚本没有正确验证config[include_dir]参数的输入,允许安全者通过包含本地或外部资源的任意文件导致执行任意代码。成功安全要求打开了register_globals。
<*来源:the master
链接:http://secunia.com/advisories/21688/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Ultrize LLC
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ultrize.com/minibill/download/minibill-20060714.zip
上一篇:Joomla!多个远程安全漏洞
