PHP日历程序远程文件包含漏洞

时间:2006-02-25 来源: 作者: 点击:
漏洞信息 PHP ICalendar是一款基于PHP的日历程序。 PHP ICalendar不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。 问题存在于'Template.PHP'脚本中,函数parse($file)调用include($file)对$file变量缺少过滤。指定远程服务上的任意文
    漏洞信息

  PHP ICalendar是一款基于PHP的日历程序。

  PHP ICalendar不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。

  问题存在于'Template.PHP'脚本中,函数parse($file)调用include($file)对$file变量缺少过滤。指定远程服务上的任意文件作为包含对象,可以WEB权限执行任意PHP命令。

  BUGTRAQ ID: 16557

  CNCAN ID:CNCAN-2006020904

  漏洞消息时间:2006-02-08

  漏洞起因

  输入验证错误

  影响系统

  PHP iCalendar PHP iCalendar 2.0.1

  PHP iCalendar PHP iCalendar 2.1

  PHP iCalendar PHP iCalendar 2.0

  危害

  远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。

  攻击所需条件

  攻击者必须访问PHP ICalendar。

  厂商解决方案

  可参考如下补丁:

  http://dimer.tamu.edu/phpicalendar.net/forums/viewtopic.php?p=1869#1869

  漏洞提供者

  Aliaksandr Hartsuyeu

  漏洞消息链接

  http://marc.theaimsgroup.com/?l=bugtraq&m=113944039824395&w=2

  漏洞消息标题

  [eVuln] PHP iCalendar File Inclusion Vulnerability
------分隔线----------------------------
顶一下
(1)
100%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容