YaPiG < 0.92.2 多个脚本任意命令执行
high Nessus 插件 ID 14269
语言:
简介
远程 Web 服务器包含一个容易受到任意 PHP 代码注入漏洞影响的 PHP 应用程序。描述
远程主机正在运行 YaPiG,这是一个以 PHP 编写的基于 Web 的图片库。YaPiG 的远程版本可能允许远程攻击者在易受影响的系统上执行恶意脚本。存在此问题的原因是缺少对用户所提供数据的审查。据报告,攻击者可能会以“.php”扩展名上传将会保存在服务器上的内容。当攻击者请求此文件时,PHP 引擎将解析并执行该文件的内容,而非发送该内容。若成功利用此问题,攻击者便可在易受影响的服务器上执行恶意脚本代码。
解决方案
升级至 YaPiG 0.92.2 或更高版本。另见
插件详情
严重性: High
ID: 14269
文件名: yapig_remote_vuln.nasl
版本: 1.27
类型: remote
系列: CGI abuses
发布时间: 2004/8/13
最近更新时间: 2022/4/11
支持的传感器: Nessus
漏洞信息
CPE: cpe:/a:yapig:yapig
必需的 KB 项: www/PHP
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2004/8/12
参考资料信息
BID: 10891