关键信息 漏洞概述 漏洞名称: F@cile Interactive Web <= 0.8x 多个远程漏洞 披露日期: 2006-06-02 / 2006-06-03 报告者: Mustafa Can Bjorn IPEKCI CVSS风险等级: Medium 漏洞详情 远程: Yes CVE编号: CVE-2006-2746 影响版本: 0.8.5及以前版本 漏洞描述 p-popupgallery.php: 参数 在使用前未进行适当清理,可能导致远程文件包含(Remote File Inclusion, RFI)和本地文件包含(Local File Inclusion, LFI)。 - 受影响行: 第28行 p-editpage.php和p-editbox.php: 参数 未进行适当清理,存在文件包含漏洞。 - 受影响行: 第20-21行 主题中的漏洞: 所有主题都存在任意本地文件包含漏洞。 - 受影响文件: - p-themes/lowgraphic/index.inc.php - p-themes/classic/index.inc.php - p-themes/puzzle/index.inc.php - p-themes/simple/index.inc.php - p-themes/ciao/index.inc.php index.php: 参数 在使用前未进行适当清理,可能导致信息泄露。 示例攻击 RFI/LFI示例: - - - XSS示例: - 漏洞利用 利用链接: http://www.nukedx.com/?getxpl=35