安全研究
安全漏洞
File Upload Manager远程任意命令执行漏洞
发布日期:2004-10-16
更新日期:2004-10-19
受影响系统:File Upload Manager File Upload Manager 1.3
描述:
File Upload Manager是基于PHP的文件上传管理程序。
File Upload Manager包含的'/fileupload/index.php'没有正确验证上传文件,远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意命令。
攻击者可以利用'/fileupload/index.php'文件漏洞,当上传包含恶意命令的文件或图象文件时更改Content-Type内容,就可以绕过文件类型的验证,然后发送请求执行上传文件,可导致以WEB权限在系统上执行任意命令。
<*来源:keitel andres ortega (
justint@rdmail.net)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=109786552422431&w=2
*>
建议:
厂商补丁:
File Upload Manager
-------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://webdev.mtnpeak.net/index.php?pg=php浏览次数:4784
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |