漏洞关键信息 漏洞概况 漏洞名称: WebYep <= 1.1.9 (webyep_sIncludePath) 多个远程文件包含漏洞 CVE ID: CVE-2006-5220 CVSS Base Score: 5.1/10 CVSS 基本影响得分: 6.4/10 CVSS 攻击复杂度得分: 4.9/10 风险等级: 高 漏洞细节 发现者: Dedi Dwianto a.k.a the_day 发现日期: 2006年10月5日 位置: 印尼雅加达 关键级别: 极其关键 影响: 系统访问 可利用类型: 通过远程利用 受影响软件描述 应用: WebYep 版本: <= 1.1.9 URL: http://www.obdev.at 描述: WebYep 是一个小型到中型网站的低成本替代品,用于创建可编辑的网页。 漏洞描述 漏洞位置: 在 文件夹下的 脚本中发现漏洞。 问题: 传递给 参数的输入在使用前未进行适当验证。可以利用此漏洞通过包含来自本地或外部资源的文件来执行任意 PHP 代码。 受影响文件: 位于 目录下的多个 文件。 攻击示例 通过构造特定 URL 访问带有恶意文件包含的页面,可以执行攻击者指定的代码。 解决方案 对受影响文件中的 变量进行清理处理。 关闭 功能。 时间线 2006年10月5日: 发现漏洞 2006年10月5日: 联系供应商 2006年10月9日: 公开披露