多重弱点就已phpwcms,远程攻击者可以利用来执行任意指令或绕过安全限制.
第一个问题是:由于输入错误的验证"phpwcms_code_snippets/mail_file_form.phP"字剧本并不妥当验证"nome_evento","text_evento"、"email_evento"参数,然后通过"render_phpcode()"功能远程攻击者可以利用注入和执行PHP的任意特权代码与Web服务.
第二个错误是由于错误的"包括/inc_act/act_formmailer.php"、"sample_ext_php/mail_file_form.php"剧本不验证"referer"HTTP的头、可以任意宰割袭击者送电子邮件和滥发电邮伺服器透过脆弱.
phpwcms version 1.2.5-DEV and prior
phpwcms version 1.1-RC4 and prior
<a href="http://www.phpwcms.org/support/patchSecure20060425_phpwcms_1.2.x.zip" target="_blank">http://www.phpwcms.org/support/patchSecure20060425_phpwcms_1.2.x.zip</a>
暂无评论