找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
查看: 1205|回复: 0

FrontAccounting 存在远程文件包含漏洞

[复制链接]

286

主题

75

回帖

491

牛毛

一级牛人

車菿山偂^︶ㄣ咇侑潞﹏﹖.

积分
491
发表于 2007-12-25 15:12:26 | 显示全部楼层 |阅读模式 来自 内蒙古
受影响系统:

FrontAccounting FrontAccounting 1.13

FrontAccounting FrontAccounting 1.12

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 25***12

FrontAccounting是适用于中小企业的财务软件。

FrontAccounting在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。

FrontAccounting的access/login.php和includes/lang/language.php文件中没有正确地验证对path_to_root参数的输入,允许远程攻击者通过包含本地或外部资源的任意文件导致执行任意代码。有漏洞的代码段如下:



ERROR1:accsess/login.php

include_once($path_to_root . \"/includes/ui/ui_view.inc\"); <<< RFI

ERROR2:includes/lang/language.php

include_once($path_to_root . \"/lang/installed_languages.inc\");

include_once($path_to_root . \"/includes/lang/gettext.php\"); <<< RFI



<*来源:K3ZZAP66***45

链接:http://secunia.com/advisories/26962/

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

FrontAccounting

---------------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://frontaccounting.net/wb2/
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5用户社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-10 23:07 , Processed in 0.112175 second(s), 18 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表