添加时间:
2008-10-03

系统编号:
WAVDB-01048
BugCVE: CVE-2006-6084
BUGTRAQ: 21222

影响版本:
aBitWhizzy

程序介绍:

aBitWhizzy是一种基于Web的论坛软件。

漏洞分析:

aBitWhizzy实现上存在输入验证漏洞，远程攻击者可能利用此漏洞非授权获取文件内容。 aBitWhizzy的abitwhizzy.php脚本没有正确地过滤对f参数的输入，允许攻击者通过目录遍历攻击泄漏任意文件的内容。

漏洞利用:

http://www.example.com/abitwhizzy.php?f=../../../../../../../etc/passwd

解决方案:
厂商补丁：
unverse.net
-----------
目前厂商已经在最新版本的软件中修复了这个安全问题，请到厂商的主页下载：
http://www.unverse.net/abitwhizzy/