KGB Sesskglogadmin.PHP本地文件包含漏洞
KGB是一款基于PHP的WEB应用程序。 KGB不正确过滤用户提交的输入,远程攻击者可以利用漏洞以WEB进程权限查看系统文件内容。 问题是'Sesskglogadmin.PHP'脚本对用户提交的'skinnn'参数缺少过滤,提交包含多个"../"字符作为参数数据,可绕过WEB ROOT限制,以WEB进程权限查看系统文件内容。 KGB 1.9 目前没有解决方案提供: http://www.kgb.xs.com.pl/ http://www.sebug.net/show-exp-949.html...