phpwind路由分发类存在绝对路径泄露

白蚂蚁
8000白蚂蚁网络安全主管
2017-06-20 05:29:30
8000 2017-06-20 05:29:30
phpwind路由分发类存在绝对路径泄露问题


漏洞详情


披露状态:






2012-08-12: 细节已通知厂商并且等待厂商处理中
2012-08-17: 厂商已经主动忽略漏洞,细节向公众公开




简要描述:




详细说明:


文件:\lib\framework\router.class.php
 直接泄露了绝对路径。
 Error::showError("路径不存在" . $path);


漏洞证明:


比如安装了phpwind的商家导航模块时,https://www.xxx.com/index.php?m=dianpu&c=list&categoryid=1
 获取商家分类时,这是正确地址。
 改成https://www.xxx.com/index.php?m=dianpu&c=XXXXXXXXXXXX&categoryid=1
 绝对路径泄露了
本文标题:phpwind路由分发类存在绝对路径泄露
本文作者:白蚂蚁
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t620.html
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan