|
漏洞信息
PHP ICalendar是一款基于PHP的日历程序。
PHP ICalendar不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。
问题存在于'Template.PHP'脚本中,函数parse($file)调用include($file)对$file变量缺少过滤。指定远程服务上的任意文件作为包含对象,可以WEB权限执行任意PHP命令。
BUGTRAQ ID: 16557
CNCAN ID:CNCAN-2006020904
漏洞消息时间:2006-02-08
漏洞起因
输入验证错误
影响系统
PHP iCalendar PHP iCalendar 2.0.1
PHP iCalendar PHP iCalendar 2.1
PHP iCalendar PHP iCalendar 2.0
危害
远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。
攻击所需条件
攻击者必须访问PHP ICalendar。
厂商解决方案
可参考如下补丁:
http://dimer.tamu.edu/phpicalendar.net/forums/viewtopic.php?p=1869#1869
漏洞提供者
Aliaksandr Hartsuyeu
漏洞消息链接
http://marc.theaimsgroup.com/?l=bugtraq&m=113944039824395&w=2
漏洞消息标题
[eVuln] PHP iCalendar File Inclusion Vulnerability
|
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
您现在的位置: 
