Multiple PHP remote file inclusion... CVE-2007-5117 CNNVD-200709-425

9.3 AV AC AU C I A
发布: 2007-09-27
修订: 2017-10-19

FrontAccounting(FA)是FrontAccounting公司的一套适用于中小型企业ERP供应链的财务软件。该软件包括采购订单、商品票据和账务分类与预算等模块。 FrontAccounting在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。 rontAccounting的access/login.php和includes/lang/language.php文件中没有正确地验证对path_to_root参数的输入,允许远程攻击者通过包含本地或外部资源的任意文件导致执行任意代码。有漏洞的代码段如下: RROR1:accsess/login.php include_once($path_to_root . "/includes/ui/ui_view.inc"); <<< RFI ERROR2:includes/lang/language.php include_once($path_to_root . "/lang/installed_languages.inc"); include_once($path_to_root . "/includes/lang/gettext.php"); <<< RFI

0%

漏洞利用/PoC

当前有1条漏洞利用/PoC

受影响的平台与产品

当前有1条受影响产品信息