漏洞标题
N/A
漏洞描述信息
在WikkaWiki 1.3.1和1.3.2版本中,当启用入侵模式时,文件上传功能支持常见的文件扩展名,这些扩展名通常不在Apache HTTP服务器类型配置文件中列出。这使得远程攻击者更容易地执行任意PHP代码,方法是将这段代码放在文件名具有多个扩展名(如(1).mm或(2).vpp)的文件里。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
actions/files/files.php in WikkaWiki 1.3.1 and 1.3.2, when INTRANET_MODE is enabled, supports file uploads for file extensions that are typically absent from an Apache HTTP Server TypesConfig file, which makes it easier for remote attackers to execute arbitrary PHP code by placing this code in a file whose name has multiple extensions, as demonstrated by a (1) .mm or (2) .vpp file.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
WikkaWiki 安全漏洞
漏洞描述信息
WikkaWiki 1.3.1和1.3.2版本中的actions/files/files.php中存在漏洞,该漏洞源于INTRANET_MODE启用时,支持文件上传,典型缺少从Apache HTTP Server TypesConfig文件的文件扩展。远程攻击者可利用该漏洞通过在放置此代码带有许多扩展名的文件如(1).mm或(2).vpp文件,执行任意PHP代码。
CVSS信息
N/A
漏洞类别
授权问题