检测

Joomla! / Mambo 组件多重参数本地文件包含漏洞

critical Nessus 插件 ID 43636

语言:

简介

远程 Web 服务器包含受到多个包含漏洞之本地文件的影响的 PHP 应用程序。

描述

远程主机上包含一个 Joomla! 或 Mambo 组件未清理在 GET 请求中多个参数的用户提供之输入,便将其用于包含 PHP 代码。无论 PHP 的“register_globals”设置如何,未经身份验证的远程攻击者都可利用此问题泄露任意文件,或者可能需要 Web 服务器用户 ID 权限的远程主机上执行任意 PHP 代码。

解决方案

请联系每个受影响组件的供应商以了解是否可以升级,否则请将其禁用。

插件详情

严重性: Critical

ID: 43636

文件名: joomla_components_controller_lfi.nasl

版本: 1.162

类型: remote

系列: CGI abuses

发布时间: 2010/1/4

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 8.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: cpe:/a:joomla:joomla%5c%21

必需的 KB 项: www/PHP

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

漏洞发布日期: 2010/1/3

可利用的方式

Elliot (Joomla Component com_shoutbox LFI)

参考资料信息

CVE: CVE-2010-0157, CVE-2010-0467, CVE-2010-0676, CVE-2010-0944, CVE-2010-0972, CVE-2010-1056, CVE-2010-1081, CVE-2010-1304, CVE-2010-1305, CVE-2010-1306, CVE-2010-1308, CVE-2010-1312, CVE-2010-1314, CVE-2010-1340, CVE-2010-1345, CVE-2010-1352, CVE-2010-1354, CVE-2010-1469, CVE-2010-1470, CVE-2010-1471, CVE-2010-1472, CVE-2010-1473, CVE-2010-1474, CVE-2010-1475, CVE-2010-1478, CVE-2010-1491, CVE-2010-1494, CVE-2010-1534, CVE-2010-1602, CVE-2010-1607, CVE-2010-1653, CVE-2010-1658, CVE-2010-1714, CVE-2010-1715, CVE-2010-1717, CVE-2010-1718, CVE-2010-1719, CVE-2010-1722, CVE-2010-1723, CVE-2010-1858, CVE-2010-1875, CVE-2010-1878, CVE-2010-1952, CVE-2010-1953, CVE-2010-1954, CVE-2010-1956, CVE-2010-1979, CVE-2010-1980, CVE-2010-1981, CVE-2010-2033, CVE-2010-2034, CVE-2010-2035, CVE-2010-2036, CVE-2010-2037, CVE-2010-2050, CVE-2010-2122, CVE-2010-2507, CVE-2010-3426, CVE-2010-4977, CVE-2011-4804

BID: 39174, 39176, 39177, 39178, 39200, 39203, 39208, 39213, 39214, 39222, 39239, 39246, 39248, 39251, 39266, 39267, 39331, 39342, 39383, 37583, 37596, 37691, 37987, 38267, 38330, 38715, 38741, 38742, 38743, 38747, 38749, 38751, 38761, 38783, 38911, 38912, 38917, 39385, 39386, 39387, 39388, 39390, 39398, 39399, 39497, 39506, 39509, 39545, 39547, 39548, 39560, 39562, 39566, 39606, 39607, 39608, 39742, 39743, 40175, 40176, 40177, 40185, 40192, 40244, 40328, 40412, 40440, 40964, 41031, 41358, 42486, 43147, 43820, 46081, 48345, 48944, 56994

CWE: 22