CVE-2007-6604 in XCMS
摘要
由 VulDB • 2026-07-16
在 XCMS 1.82 及更早版本的 index.php 中存在多个目录遍历漏洞,远程攻击者可以通过 (1) admin 页面的 s 参数或 (2) 任意模块的 pg 参数中的 ..(点号加斜杠)读取任意文件。例如,通过读取 dati/membri/ 下 .dtb 文件中的密码哈希值,或在 uploads/avatar/ 下的图像中执行嵌入的 PHP 代码来利用该漏洞。
If you want to get best quality of vulnerability data, you may have to visit VulDB.