MyBB Avatar参数文件枚举信息泄露漏洞
影响版本:
MyBB 1.4.10漏洞描述:
BUGTRAQ ID: 37489
MyBB是一款流行的Web论坛程序。
在更改用户的头像时MyBB没有正确地过滤avatar参数便用于检查是否存在文件。由于仅在可确认文件存在的情况下才可以成功执行头像更改,这可能允许攻击者通过目录遍历攻击枚举出已有的文件。<*参考
http://secunia.com/advisories/37906/
http://dev.mybboard.net/issues/617
*>
SEBUG安全建议:
厂商补丁:
MyBB
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻