FTP Admin多个远程输入验证漏洞 CVE-2007-6232 CNNVD-200712-029

4.3 AV AC AU C I A
发布: 2007-12-04
修订: 2017-09-29

FTP Admin是结合vsFTPd、sudo、apache和PHP使用的用户管理工具。 FTP Admin的实现上存在多个输入验证漏洞,远程攻击者可能利用此漏洞获取非授权访问。 FTP Admin的index.php文件中没有正确地验证对page参数的输入,允许远程攻击者包含本地或外部FTP资源的任意文件。成功攻击要求有效的用户凭据。 index.php文件中没有正确地验证认证,远程攻击者无需拥有有效的用户凭据便可以通过将loggedin参数设置为true登录并添加新的FTP用户。成功攻击要求打开了register_globals。 如果page设置为error的话,index.php文件中没有正确地过滤对error参数的输入便返回给了用户,这可能导致在用户浏览器会话中执行任意HTML和脚本代码。

0%

漏洞利用/PoC

当前有3条漏洞利用/PoC

受影响的平台与产品

当前有9条受影响产品信息