漏洞标题
N/A
漏洞描述信息
"e Fiction 1.0、1.1 和 2.0 允许远程攻击者通过直接请求 storyblock.php 而不提供参数来获得敏感信息,并且在生成的 PHP 错误消息中泄漏完整的路径名。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
eFiction 1.0, 1.1, and 2.0 allows remote attackers to obtain sensitive information via a direct request to storyblock.php without arguments, which leaks the full pathname in the resulting PHP error message.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
eFiction多个远程输入验证漏洞
漏洞描述信息
eFiction是一款基于Web的远程协同写作的工具。 eFiction处理用户请求时存在多个输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名,远程攻击者可以上传php后缀的可执行代码,从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤,攻击者可以通过在输入数据中插入特定
CVSS信息
N/A
漏洞类别
授权问题