漏洞标题
N/A
漏洞描述信息
在PmWiki 2.1 beta 20中,启用register_globals功能后,pmwiki.php允许远程攻击者绕过解注册全局变量的保护措施,通过同时设置一个名为GPC的变量和一个名为GLOBALS[]的变量,使得PmWiki将 GlobalS[] 变量取消注册,但将 GPC 变量取消注册。这会导致PmWiki 取消 GlobalS[] 变量,但不取消 GPC 变量,从而产生诸如远程文件包含和跨站脚本(XSS)等后果。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
pmwiki.php in PmWiki 2.1 beta 20, with register_globals enabled, allows remote attackers to bypass protection mechanisms that deregister global variables by setting both a GPC variable and a GLOBALS[] variable with the same name, which causes PmWiki to unset the GLOBALS[] variable but not the GPC variable, which creates resultant vulnerabilities such as remote file inclusion and cross-site scripting (XSS).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PmWiki多个输入验证漏洞
漏洞描述信息
PmWiki是一种基于Wiki技术的开源多人协作知识积累工具。 PmWiki实现上存在多个输入验证漏洞,远程攻击者可能利用这些漏洞在主机上执行任意命令或对客户端进行HTML代码注入攻击。PmWiki存在远程文件包含问题,攻击者可以利用此漏洞使服务器包含远程机器上的脚本代码并执行,从而在服务器上以Web服务进程权限任意命令。PmWiki还存在HTML代码注入漏洞,攻击者可以在服务器的回应数据中插入HTML代码,当客户端访问页面时导致代码以客户端进程的权限执行。
CVSS信息
N/A
漏洞类别
跨站脚本