OpenNetAdmin dcm.php options[desc] 参数任意远程 PHP 代码执行

high Nessus 插件 ID 69170

语言：

简介

远程 Web 服务器托管受到远程 PHP 代码执行漏洞影响的 PHP 脚本。

描述

远程 Web 服务器包含 OpenNetAdmin，一款用于跟踪数据库中 IP 网络属性的系统。该应用程序利用基于 Web 的界面来管理数据以及命令行接口。

远程主机上安装的 OpenNetAdmin 版本受到远程 PHP 代码执行漏洞的影响，原因是“dcm.php”脚本的“options[desc]”参数无法正确审查用户提供的输入。未经认证的远程攻击者可利用此问题，通过发送利用目录遍历序列的特别构建的 POST 请求，在远程主机上执行任意 PHP 代码。

解决方案

目前尚未有任何已知的针对此问题的解决方案。

插件详情

严重性: High

ID: 69170

文件名: opennetadmin_dcm_remote_code_execution.nasl

版本: 1.8

类型: remote

系列: CGI abuses

发布时间: 2013/7/31

最近更新时间: 2022/4/11

配置: 启用全面检查 (optional)

支持的传感器: Nessus

漏洞信息

CPE: x-cpe:/a:opennetadmin:opennetadmin

必需的 KB 项: www/PHP

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

漏洞发布日期: 2013/7/7

参考资料信息

BID: 61004