用于 Joomla! 的 RWCards 组件“mosConfig_absolute_path”参数远程文件包含

critical Nessus 插件 ID 63201

语言：

简介

远程 Web 服务器包含受到远程文件泄露漏洞影响的 PHP 应用程序。

描述

远程主机上运行的 Joomla! 的 RWCards 组件版本受到一个本地文件包含漏洞的影响，这是未正确清理用户为“mosConfig_absolute_path”参数提供的输入，便在 rwcards.advancedate.php 脚本中将其用于包含 PHP 代码所致。未经身份验证的远程攻击者都可利用此问题泄露任意文件，或者可能需要 Web 服务器用户 ID 权限的远程主机上执行任意 PHP 代码。

解决方案

暂时未知。

另见

http://www.nessus.org/u?0edbe927

https://www.weberr.de/

插件详情

严重性: Critical

ID: 63201

文件名: joomla_rwcards_mosconfig_absolute_path_rfi.nasl

版本: 1.11

类型: remote

系列: CGI abuses

发布时间: 2012/12/10

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:joomla:joomla%5c%21, cpe:/a:weberr:com_rwcards

必需的 KB 项: www/PHP, installed_sw/Joomla!

被 Nessus 利用: true

漏洞发布日期: 2010/10/12