Dolibarr passwordforgotten.php theme 參數本機檔案包含
medium Nessus Plugin ID 58746
語系:
概要
遠端 Web 伺服器包含受到本機檔案包含弱點影響的一個 PHP 指令碼。說明
遠端主機上安裝的 Dolibarr 版本在使用 'user/passwordforgotten.php' 指令碼的 'theme' 參數包含 PHP 程式碼之前,無法清理使用者向其提供的輸入。使用特製的要求,未經驗證的遠端攻擊者可能利用此弱點來讀取任意檔案,或以該 Web 伺服器運作時所使用的權限,從受影響的主機執行任意 PHP 程式碼。
解決方案
目前尚未有已知的解決方案。手動編輯原始程式碼,以確保正確清理輸入。另請參閱
http://autosectools.com/Advisory/Dolibarr-3.0.0-Local-File-Inclusion-181
Plugin 詳細資訊
嚴重性: Medium
ID: 58746
檔案名稱: dolibarr_passwordforgotten_lfi.nasl
版本: 1.10
類型: remote
系列: CGI abuses
已發布: 2012/4/13
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
弱點資訊
CPE: cpe:/a:dolibarr:dolibarr
必要的 KB 項目: www/PHP, www/dolibarr
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
弱點發布日期: 2011/4/21
可惡意利用
Elliot (Dolibarr 3.0.0 LFI)
參考資訊
BID: 47542