MyBB Avatar参数文件枚举信息泄露漏洞
添加时间:
2009-12-29
系统编号:
WAVDB-01514
BugCVE: CVE-2009-4449
BUGTRAQ: 37489
影响版本:
MyBB 1.4.10
程序介绍:
2009-12-29
系统编号:
WAVDB-01514
BugCVE: CVE-2009-4449
BUGTRAQ: 37489
影响版本:
MyBB 1.4.10
程序介绍:
MyBB是一款流行的Web论坛程序。
漏洞分析:
在更改用户的头像时MyBB没有正确地过滤avatar参数便用于检查是否存在文件。由于仅在可确认文件存在的情况下才可以成功执行头像更改,这可能允许攻击者通过目录遍历攻击枚举出已有的文件。
解决方案:
厂商补丁:
MyBB
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://dev.mybboard.net/issues/617
信息来源:
<*来源:Ryan Gordon
链接:http://secunia.com/advisories/37906/
http://dev.mybboard.net/issues/617
*>