发布日期：2002-09-24
更新日期：2002-09-26

受影响系统：

VBulletin VBulletin 2.0.3

不受影响系统：

VBulletin VBulletin 2.2.0

描述：

---

BUGTRAQ  ID: 5820
CVE(CAN) ID: CVE-2002-1660

vBulletin Calendar是一款基于WEB的日历程序。

vBulletin Calendar对用户输入缺少正确过滤，远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意命令。

vBulletin Calendar中的calendar.php脚本对用户提交给comma参数的值缺少过滤，攻击者提交特殊字符并追加任意系统命令，可能以WEB进程的权限（一般是nobody）在系统上执行任意命令。

<*来源：gosper. （gosper@nix.org）
  
  链接：http://www.securiteam.com/exploits/5QP0P158AC.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修补之前，暂时停止calendar.php程序的使用。

厂商补丁：

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请升级vBulletin到2.2.8版本：

http://www.vbulletin.com/

浏览次数：3617
严重程度：0（网友投票）