php 包含远程文件,PHP日历程序远程文件包含漏洞

PHP日历程序远程文件包含漏洞 - 网络安全 - 电脑教程网

PHP日历程序远程文件包含漏洞

日期:2007-02-28   荐:
  漏洞信息  PHP ICalendar是一款基于PHP的日历程序。  PHP ICalendar不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。  问题存在于'Template.PHP'脚本中,函数parse($file)调用include($file)对$file变量缺少过滤。指定远程服务上的任意文件作为包含对象,可以WEB权限执行任意PHP命令。  BUGTRAQ ID: 16557  CNCAN ID:CNCAN-2006020904  漏洞消息时间:2006-02-08  漏洞起因  输入验证错误  影响系统  PHP iCalendar PHP iCalendar 2.0.1   PHP iCalendar PHP iCalendar 2.1  PHP iCalendar PHP iCalendar 2.0  危害  远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。  攻击所需条件  攻击者必须访问PHP ICalendar。  厂商解决方案  可参考如下补丁:  http://dimer.tamu.edu/phpicalendar.net/forums/viewtopic.php?p=1869#1869  漏洞提供者  Aliaksandr Hartsuyeu   漏洞消息链接  http://marc.theaimsgroup.com/?l=bugtraq&m=113944039824395&w=2  漏洞消息标题  [eVuln] PHP iCalendar File Inclusion Vulnerability

(出处:http://www.sheup.com)




标签: