漏洞标题
N/A
漏洞描述信息
Chyrp 2.1 和更早版本中的目录遍历漏洞允许远程攻击者通过在默认 URI 的行动参数中包含和执行任意本地文件,将..%2F(编码的点分号)作为参数传递。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Directory traversal vulnerability in Chyrp 2.1 and earlier allows remote attackers to include and execute arbitrary local files via a ..%2F (encoded dot dot slash) in the action parameter to the default URI.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Chyrp目录遍历漏洞
漏洞描述信息
Chyrp是一款开源的基于PHP和MySQL的轻量级博客(Blog)引擎。 Chyrp 2.1及之前版本中存在目录遍历漏洞。借助action参数向index.php传递的输入在被用于包含文件之前没有经过正确验证,远程攻击者可借助目录遍历序列和URL编码的NULL字节包含并执行任意本地文件。
CVSS信息
N/A
漏洞类别
路径遍历