FineCMS 2.3.x 本地文件包含 - 网站安全 - 自学php-自学php网

子栏目

主页 > 入门引导 > 黑客攻防 >

FineCMS 2.3.x 本地文件包含 - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] FineCMS2 3 x版本一文件中存在本地文件包含漏洞。需要在能截断的环境中使用。palyer video phpplayer目录下的video php 中存在本地文件包含漏洞（必须能支持截断的环境才能使用）。漏洞形成原...

FineCMS2.3.x版本一文件中存在本地文件包含漏洞。需要在能截断的环境中使用。

palyer/video.php

player目录下的video.php 中存在本地文件包含漏洞（必须能支持截断的环境才能使用）。漏洞形成原因见 video.php 的98到100行代码。 $filename='./Models/'.$type.'Model.php';

if(file_exists($filename)){

include_once($filename);

其中$type=$_GET['vtype'];

在windows环境中测试的。

修复方案：

过滤vtype。

74cms 企业级用户存储型xss 可打管理员 - 网站安全

js hijack抓取爱奇艺登录用户信息 - 网站安全 - 自

最新评论

加载更多~~

添加评论

更多文章推荐

maccms8由于涉及缺陷可以再系统内部随意创建文件 2015-04-15
MetInfo系统备份文件在特定环境下可被任意下载 2015-04-15
CmsEasy最新版本前台SQL注射 (2) - 网站安全 - 自学 2015-04-15
某交易网APP设计不当导致数据库泄漏 - 网站安全 2015-04-15
浅谈WAF的绕过(附绕过安全狗的方法) - 网站安全 2015-04-15
U-Mail邮件系统上传文件导致getshell - 网站安全 - 2015-04-15
gitbucket1.8版本关于readme.md的XSS漏洞 - 网站安全 2015-04-15
利用webshell搭建socks代理 - 网站安全 - 自学php 2015-04-15
XSS终结者：Content Security Policy（CSP） - 网站安全 2015-04-15
Finecms v2.3.2前台getshell #1 (官网已shell) - 网站安全 2015-04-15

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论