xKiosk WEB 3.0.1i中的system/funcs/xkurl.php存在PHP远程文件包含漏洞,当register_globals被激活时,远程攻击者可以借助PEARPATH参数的一个URL执行任意PHP代码。