发布日期：2006-06-08
更新日期：2006-06-08

受影响系统：

CMS-Bandits CMS-Bandits 2.5

描述：

---

CVE(CAN) ID: CVE-2006-2928

CMS-Bandits是一组PHP脚本，具有在线HTML编辑器、日历、搜索引擎、RSS阅读器、修改日志、注释系统等功能。

CMS-Bandits 2.5启用了register_globals后，存在多个PHP远程文件包含漏洞，远程攻击者通过dialogs/img.php、dialogs/td.php内的spaw_root参数里的RUL，利用这些漏洞可执行任意PHP代码。

<*来源：Federico Fazzi
  
  链接：http://xforce.iss.net/xforce/xfdb/27001
        http://secunia.com/advisories/20507
*>

建议：

---

厂商补丁：

CMS-Bandits
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://sourceforge.net/projects/cms-bandits/

浏览次数：1794
严重程度：0（网友投票）