|
Secunia Advisory: SA19055
PeHePe Membership Management System被报告有两个漏洞,这些漏洞可以被人恶意操纵进行跨越网站脚本攻击以及危及易受攻击系统。
1)返回到用户前在sol_menu.php输入"kuladi"参数不适当处理导致用户在受影响的站点使用浏览器时可被执行任意HTML和脚本代码。
例如:
http://[host]/sol_menu.php?kuladi=[code]
2)在用户设置文件前在sol_menu.php输入"uye_klasor"不适当处理。这将导致本地文件和远程资源被攻击。
例如:
http://[host]/sol_menu.php?uye_klasor=[file]&misafir[]=UYE_SEVIYE
成功的攻击需要"register_globals"可用。
该漏洞已经在版本3.0中被证实。其他版本中也受到影响。 | 
