漏洞标题
N/A
漏洞描述信息
在phpPowerCards 2.10中的db/txt.inc.php中存在多个直接静态代码注入漏洞。当启用register_globals时,允许远程攻击者通过(1)电子邮件[to],(2)电子邮件[from],(3)名称[to],(4)名称[from],(5)图片,(6)注释或(7)会话ID参数创建或覆盖任意文件。这通过创建一个新的允许远程文件包含的.php文件并请求该文件进行了演示。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple direct static code injection vulnerabilities in db/txt.inc.php in phpPowerCards 2.10, when register_globals is enabled, allow remote attackers to create or overwrite arbitrary files via the (1) email[to], (2) email[from], (3) name[to], (4) name[from], (5) picture, (6) comment, or (7) sessionID parameter, as demonstrated by creating a new .php file that permits remote file inclusion, and then requesting this file.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PhpPowerCards 'txt.inc.php'直接静态代码注入漏洞
漏洞描述信息
phpPowerCards 2.10的db/txt.inc.php中存在多个直接静态代码注入漏洞,在启用register_globals的情况下,远程攻击者可以通过(1)email[to],(2)email[from],(3)name[to],(4)name[from],(5)picture,(6)comment或(7)sessionID参数来创建或重写任意文件,例如通过创建一个新的允许远程文件注入的.php文件,然后请求该文件即可触发此漏洞。
CVSS信息
N/A
漏洞类别
授权问题