漏洞标题
N/A
漏洞描述信息
**争议**
Vanilla CMS 1.0.1 和更早版本中的升级器.php中,当 /conf/old_settings.php 存在时,存在远程文件包含漏洞,允许远程攻击者通过根目录参数中的 URL 执行任意的 PHP 代码。注意:此问题已被第三方争议,表示在用于版本 1.0 时,根目录参数在使用时会初始化。CVE 分析与争议一致,但不清楚是否影响 older versions。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
PHP remote file inclusion vulnerability in upgrader.php in Vanilla CMS 1.0.1 and earlier, when /conf/old_settings.php exists, allows remote attackers to execute arbitrary PHP code via a URL in the RootDirectory parameter. NOTE: this issue has been disputed by a third party who states that the RootDirectory parameter is initialized before being used, for version 1.0. CVE analysis concurs with the dispute, but it is unclear whether older versions are affected
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Lussumo Vanilla 'upgrader.php' RootDirectory远程文件包含漏洞
漏洞描述信息
Vanilla是一个开源的多语言、完全可扩展的论坛程序。 Vanilla处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。 Vanilla的steup/upgrader.php脚本没有对RootDirectory目录做充分的检查过滤,攻击者可以使之包含远程服务器上的PHP脚本代码执行。
CVSS信息
N/A
漏洞类别
授权问题