关键漏洞信息 漏洞名称: Calendarix version 0.7. 20070307 Multiple Path Disclosure Vulnerabilities CVE编号: CVE-2007-3259 发布日期: 2007.06.28 风险等级: 中 本地漏洞: 否 远程漏洞: 是 CVSS 评分 基础评分: 5/10 攻击复杂度: 低 认证要求: 不需要 机密性影响: 部分 完整性影响: 无 可用性影响: 无 漏洞描述 Calendarix是一款基于PHP和MySQL的易用日历程序。由于产品中的安全问题,攻击者可以获取服务器端脚本的真实路径。 漏洞类型 程序缺陷: 产品脚本存在缺陷,导致警告或致命错误。 具体漏洞: 多个路径披露漏洞,可以通过特定请求触发(例如,非法的偏移类型、参数不匹配、无效的MySQL结果资源等)。 解决方案 临时修复: 在php.ini文件中禁用错误消息显示,设置 。 官方解决方案: 无,厂商对协调释放补丁和安全建议不感兴趣。 示例请求与响应 路径披露漏洞1 请求: 响应: 非法偏移类型警告。 路径披露漏洞2 请求: 响应: 预期字符串参数警告。 路径披露漏洞3 请求: 响应: 不支持的操作类型致命错误。 路径披露漏洞4 请求: 响应: 调用未定义函数错误。 其他信息 测试用例ID: TC 17968 易受攻击系统: Calendarix version 0.7. 20070307 厂商: Vincent Hor (Calendarix Enterprise) 发现人: Jesper Jurcenoks