XML-RPC for PHP远程代码注入漏洞

王朝php·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

信息提供:

安全公告(或线索)提供热线:51cto.editor@gmail.com

漏洞类别:

SQL注入漏洞

攻击类型:

远程进入系统

发布日期:

2005-06-30

更新日期:

2005-06-30

受影响系统:

PostNuke PostNuke 0.76 RC4b

PostNuke PostNuke 0.76 RC4a

PostNuke PostNuke 0.76 RC4

PostNuke PostNuke 0.750

安全系统:

漏洞报告人:

漏洞描述:

BUGTRAQ ID: 14088

PostNuke是开放源码,开放开发的内容治理系统(CMS)。

PostNuke XMLrpc模块中存在远程代码注入漏洞,攻击者可以利用这个漏洞以Web Server的权限执行任意命令。

但目前更多信息不详。

<*来源:James Bercegay (security@gulftech.org)

链接:http://news.postnuke.com/modules.PHP?op=modload&name=News&file=article&sid=2699

*>

测试方法:

解决方法:

临时解决方法:

假如您不能马上安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在治理模块中禁用并删除xmlrpc模块,并从文件系统中完全删除/xmlrpc.php和/modules/xmlrpc文件夹。

厂商补丁:

PostNuke

--------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.postnuke.com/

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航