漏洞标题
N/A
漏洞描述信息
CJ Tag Board 3.0中的直接静态代码注入漏洞允许远程攻击者通过(1)所有.php执行的User-AgentHTTP头中的任意PHP代码以及(2)admin_index.php中的禁止参数执行任意的PHP代码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Direct static code injection vulnerability in CJ Tag Board 3.0 allows remote attackers to execute arbitrary PHP code via the (1) User-Agent HTTP header in tag.php, which is executed by all.php, and (2) the banned parameter in admin_index.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CJ Tag Board PHP远程代码注入漏洞
漏洞描述信息
CJ Tag Board是一款简单易用的网站管理脚本。 CJ Tag Board中存在两个输入验证错误,可能允许恶意攻击者完全入侵有漏洞的系统: 1) 在存储前没有正确过滤对tag.php中User-Agent HTTP头的输入,允许注入任意PHP代码。当用户请求all.php脚本时就会执行这些代码。 2) 在存储前没有正确过滤对admin_index.php中banned参数的输入,允许注入任意PHP代码。但利用这个漏洞需要管理用户权限。
CVSS信息
N/A
漏洞类别
授权问题