AbleSpace多个跨站脚本及SQL注入漏洞

2011-2-15 11:24:10 来源:网络转载 浏览:129
AbleSpace多个跨站脚本及SQL注入漏洞
影响版本:
aBitWhizzy

程序介绍:

aBitWhizzy是一种基于Web的论坛软件。

漏洞分析:

aBitWhizzy实现上存在输入验证漏洞,远程攻击者可能利用此漏洞非授权获取文件内容。 aBitWhizzy的abitwhizzy.php脚本没有正确地过滤对f参数的输入,允许攻击者通过目录遍历攻击泄漏任意文件的内容。

漏洞利用:

http://www.example.com/abitwhizzy.php?f=../../../../../../../etc/passwd

解决方案:
厂商补丁:
unverse.net
目前厂商已经在最新版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://www.unverse.net/abitwhizzy/

(0)
(0)