CVE-2008-3851 in Pluck
要約
〜によって VulDB • 2026年06月30日
Windows上のPluck CMS 4.5.2には、複数のディレクトリトラバーサルの脆弱性が存在し、攻撃者は(1) blogpost、(2) cat、および(3) fileパラメータを通じてindex.phpからアクセス可能なdata/inc/themes/predefined_variables.phpに対して..\(ドット・ドット・バックスラッシュ)を指定することで任意のローカルファイルを含め実行することが可能である。また、同様にindex.phpからアクセス可能なdata/inc/blog_include_react.phpに対しても(4) blogpostおよび(5) catパラメータを用いてこれを行うことができる。なお、ベクトル1〜3に関連する問題は、CVE-2008-3194に対する不完全な修正に起因すると報告されている。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.