漏洞标题
N/A
漏洞描述信息
在SH-News 3.1及其更早版本中存在多个PHP远程文件包含漏洞,允许远程攻击者通过脚本路径参数中的URL执行任意PHP代码,该代码可以访问(1)报告.php、(2)目录.php、(3)评论.php、(4)初始化.php或(5)新闻.php等页面。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple PHP remote file inclusion vulnerabilities in SH-News 3.1 and earlier allow remote attackers to execute arbitrary PHP code via a URL in the scriptpath parameter to (1) report.php, (2) archive.php, (3) comments.php, (4) init.php, or (5) news.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
SH-News 多个PHP文件scriptpath参数远程文件包含漏洞
漏洞描述信息
SH-News是一套基于PHP和MySQL的新闻组系统。 SH-News处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。 SH-News的report.php、archive.php、comments.php、init.php和news.php文件没有正确的验证scriptpath参数的输入数据,攻击者可以通过包含本地或外部资源的任意文件导致任意PHP代码。
CVSS信息
N/A
漏洞类别
授权问题