漏洞标题
N/A
漏洞描述信息
在Kubix 0.7及其更早版本中存在多个目录遍历漏洞,这允许远程攻击者通过主题cookie中的".."序列将任意本地文件包括并执行到index.php中,而include/head.php未能正确处理此操作;以及通过adm_index.php中的文件参数中的".."序列读取任意文件,如通过读取connect.php所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple directory traversal vulnerabilities in Kubix 0.7 and earlier allow remote attackers to (1) include and execute arbitrary local files via ".." sequences in the theme cookie to index.php, which is not properly handled by includes/head.php; and (2) read arbitrary files via ".." sequences in the file parameter in an add_dl action to adm_index.php, as demonstrated by reading connect.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Kubix 多个目录遍历漏洞
漏洞描述信息
Kubix 0.7及之前版本中存在多个目录遍历漏洞。远程攻击者可以(1)借助到index.php的theme cookie中的".."序列,包含和运行任意的本地文件。它没有被includes/head.php正确的处理;(2)借助add_dl操作中到adm_index.php的文件参数中的".."序列,读取任意文件,比如读取connect.php。
CVSS信息
N/A
漏洞类别
路径遍历