关键信息总结 漏洞信息 名称: Quick Polls 1.0.1 Local File Inclusion / Deletion CVE编号: CVE-2011-1099 CWE编号: CWE-22 风险等级: Medium 描述 描述: Quick Polls中存在两个漏洞,允许本地文件包含和本地文件删除,由于对index.php中的函数进行了空字节攻击。 版本: 1.0.1 PoC Exploit 本地文件包含 (LFI): 本地文件删除 (LFD): 注意事项 注意: 必须被禁用,空字节攻击才能生效。 解决方案 升级到1.0.2或以上版本 时间线 02/05/2011 - 初始厂商披露 02/07/2011 - 厂商修复并发布新版本 02/07/2011 - 与厂商确认公开披露日期 03/06/2011 - 公开披露 参考链接 http://www.focalmedia.net/create_voting_poll.html http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1099 http://www.uncompiled.com/2011/03/quick-polls-local-file-inclusion-deletion-vulnerabilities-cve-2011-1099/