漏洞标题
N/A
漏洞描述信息
Artmedic newsletter 4.1 以及其他版本,当启用 register_globals 时,允许远程攻击者通过向 log.php 的直接请求中的 logfile 参数修改任意文件并执行任意 PHP 代码,这导致 $logfile 变量被重新定义为攻击者控制的值,如将 PHP 代码注入到 info.php 中所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
artmedic newsletter 4.1 and possibly other versions, when register_globals is enabled, allows remote attackers to modify arbitrary files and execute arbitrary PHP code via the logfile parameter in a direct request to log.php, which causes the $logfile variable to be redefined to an attacker-controlled value, as demonstrated by injecting PHP code into info.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Artmedic Newsletter Log.PHP 任意PHP代码执行漏洞
漏洞描述信息
artmedic newsletter 4.1及可能的其他版本在启用register_globals时,可以使远程攻击者借助对log.php的直接请求中的logfile参数,将$logfile变量重定义为由攻击者控制的值,以修改任意文件并执行任意PHP代码。比如将PHP代码注入info.php。
CVSS信息
N/A
漏洞类别
授权问题