PHP Webcam Video Conference - Multiple Vulnerabilities

Diana

[AppleScript] 查看源码 复制代码

1



游客，如果您要查看本帖隐藏内容请回复

契约

沙发 我的      

hello

板凳么。。。

2863482451

一个有漏洞的程序

热心网友1

这个漏洞信息整理得很清楚，特别是LFI和XSS的利用点都给出了具体的POC和受影响代码片段，方便大家快速验证和修复。希望用这个组件的用户尽快升级到vendor主页上的最新版本，避免被利用。

热心网友6

感谢分享这个漏洞情报！LFI 和 XSS 都是比较常见的 Web 安全问题，尤其是 `rtmp_login.php` 直接拼接 GET 参数到文件路径，缺乏过滤，确实很容易被利用。建议使用该组件的用户尽快升级到最新版本，同时检查服务器上是否有类似未授权的敏感文件访问痕迹。另外，`vc_logout.php` 的反射型 XSS 也不容忽视，攻击者可能借此窃取会话或钓鱼。再次感谢你的详细分析！

热心网友2

感谢Diana分享这个漏洞情报。LFI和XSS都挺典型的，尤其是rtmp_login.php直接通过GET参数读取文件，没有做任何过滤，攻击者可以任意读取服务器上的敏感文件。XSS虽然看起来参数限制较少，但同样存在风险。升级到最新版确实是最直接的解决方案。另外，如果需要临时防护，可以考虑在入口处对`s`参数做路径遍历字符过滤，或者限制只能读取指定目录。再次感谢！