漏洞标题
N/A
漏洞描述信息
在phpAlbum 0.4.1 Beta 6 和更早版本中,语言.php中的目录遍历漏洞,当 magic_quotes_gpc 被禁用并启用 register_globals 时,允许远程攻击者通过 pa_lang[include_file] 参数中的..(点点) 包含和执行任意本地文件或获取敏感信息,例如,通过将 PHP 序列注入到 Apache HTTP Server 日志文件中,然后由语言.php 包含。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Directory traversal vulnerability in language.php in phpAlbum 0.4.1 Beta 6 and earlier, when magic_quotes_gpc is disabled and register_globals is enabled, allows remote attackers to include and execute arbitrary local files or obtain sensitive information via a .. (dot dot) in the pa_lang[include_file] parameter, as demonstrated by injecting PHP sequences into an Apache HTTP Server log file, which is then included by language.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PhpAlbum 'Language.php'目录遍历漏洞
漏洞描述信息
phpAlbum 0.4.1 Beta 6及更早版本中的language.php存在目录遍历漏洞,当magic_quotes_gpc禁用且register_globals启用时,远程攻击者可以通过在一个pa_lang[include_file]参数(该参数中包含..)包含并执行任意本地文件或获取敏感信息。如通过注入PHP序列到一个Apache HTTP Server日志文件,此后又被language.php包含。
CVSS信息
N/A
漏洞类别
路径遍历