漏洞标题
N/A
漏洞描述信息
在OpenX 2.8.10 版本82710之前,OpenX 具有多个目录穿越漏洞,这些漏洞允许远程管理员通过在组参数(group parameter)中的.. (dot dot) 访问www/admin中的(1)插件 preferences.php 或 (2)插件设置.php 中的任意文件,与CVE-2013-7376不同。注意:可以使用 CSRF 技术利用此漏洞,允许远程未验证的 attackers 读取任意文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple directory traversal vulnerabilities in OpenX before 2.8.10 revision 82710 allow remote administrators to read arbitrary files via a .. (dot dot) in the group parameter to (1) plugin-preferences.php or (2) plugin-settings.php in www/admin, a different vulnerability than CVE-2013-7376. NOTE: this can be leveraged using CSRF to allow remote unauthenticated attackers to read arbitrary files.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenX 目录遍历漏洞
漏洞描述信息
OpenX(前称phpAdsNew)是美国OpenX公司的一套开源的广告管理与跟踪系统。该系统提供一个横幅广告管理界面,支持电子邮件通知客户广告统计信息的功能。 OpenX 2.8.10及之前的版本中存在目录遍历漏洞,该漏洞源于plugin-preferences.php和plugin-settings.php脚本没有充分过滤‘group’参数。远程攻击者可利用该漏洞读取任意文件。
CVSS信息
N/A
漏洞类别
路径遍历