Horde应用框架go.php远程文件读取漏洞
| CNNVD-ID编号 | CNNVD-200603-306 | CVE编号 | CVE-2006-1260 |
| 发布时间 | 2006-03-18 | 更新时间 | 2012-12-26 |
| 漏洞类型 | 输入验证 | 漏洞来源 | Paul Craig [email protected] CodeScan Labs [email protected] |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | horde | ||
漏洞介绍
Horde Framework是个以PHP为基础的架构,用于创建网络应用程序。
Horde在处理用户请求的参数值时存在漏洞,该漏洞源于/services/go.php文件不安全的调用了readfile()函数,远程攻击者可能利用此漏洞遍历服务器目录读取任意文件。
漏洞补丁
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.horde.org/pub/horde/horde-3.1.tar.gz
参考网址
来源: XF
名称: horde-servicesgo-information-disclosure(25239)
链接:http://xforce.iss.net/xforce/xfdb/25239
来源: BID
名称: 17117
链接:http://www.securityfocus.com/bid/17117
来源: OSVDB
名称: 23918
来源: VUPEN
名称: ADV-2006-0959
链接:http://www.frsirt.com/english/advisories/2006/0959
来源: SECTRACK
名称: 1015771
链接:http://securitytracker.com/id?1015771
来源: SECUNIA
名称: 19246
链接:http://secunia.com/advisories/19246
来源: FULLDISC
名称: 20060315 CodeScan Advisory: Unauthenticated Arbitrary File Read in Horde v3.09 and prior
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-March/043657.html
来源: BUGTRAQ
名称: 20060315 CodeScan Advisory: Unauthenticated Arbitrary File Read in Horde v3.09 and prior
链接:http://www.securityfocus.com/archive/1/archive/1/427710/100/0/threaded
来源: SUSE
名称: SUSE-SR:2006:009
链接:http://www.novell.com/linux/security/advisories/2006_04_28.html
来源: GENTOO
名称: GLSA-200604-02
链接:http://www.gentoo.org/security/en/glsa/glsa-200604-02.xml
来源: DEBIAN
名称: DSA-1034
链接:http://www.debian.org/security/2006/dsa-1034
来源: DEBIAN
名称: DSA-1033
链接:http://www.debian.org/security/2006/dsa-1033
来源: SREASON
名称: 590
链接:http://securityreason.com/securityalert/590
来源: SECUNIA
名称: 19897
链接:http://secunia.com/advisories/19897
来源: SECUNIA
名称: 19692
链接:http://secunia.com/advisories/19692
来源: SECUNIA
名称: 19619
链接:http://secunia.com/advisories/19619
受影响实体
Horde Horde:3.0 Horde Horde:2.2.8 Horde Horde:2.2.9 Horde Horde:2.2.7 Horde Horde:2.2.4信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-306
评论