ZoneO-Soft freeForum func.inc.php 静态代码注入漏洞

CNNVD-ID编号	CNNVD-200603-001	CVE编号	CVE-2006-0957
发布时间	2006-03-02	更新时间	2006-03-03
漏洞类型	输入验证	漏洞来源	Aliaksandr Hartsuyeu is credited with the discovery of this issue.
危险等级	高危	威胁类型	远程
厂商	zoneo-soft

漏洞介绍

ZoneO-Soft freeForum 1.2.1以前的版本在函数 func.inc.php中存在的静态代码注入漏洞，会使远程攻击者通过(1) X-Forwarded-For 和(2) Client-Ip HTTP 报头，执行存于Data/flood.db.php中的任意PHP 代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

freeForum freeForum 1.2

freeForum freeforum-1.2.1.tgz

http://soft.zoneo.net/freeForum/Files/get.php?freeforum-1.2.1.tgz

来源: VUPEN

名称: ADV-2006-0759

链接：http://www.frsirt.com/english/advisories/2006/0759
来源: SECUNIA

名称: 19020

链接：http://secunia.com/advisories/19020
来源: MISC

链接：http://evuln.com/vulns/89/summary.html
来源: CONFIRM

名称: http://soft.zoneo.net/freeForum/changes.php

链接：http://soft.zoneo.net/freeForum/changes.php
来源: BID

名称: 16871

链接：http://www.securityfocus.com/bid/16871