PHP日历程序远程文件包含漏洞

　　漏洞信息　　PHP ICalendar是一款基于PHP的日历程序。　　PHP ICalendar不充分过滤用户提交的URI输入，远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。　　问题存在于'Template.PHP'脚本中，函数parse($file)调用include($file)对$file变量缺少过滤。指定远程服务上的任意文件作为包含对象，可以WEB权限执行任意PHP命令。　　BUGTRAQ ID: 16557　　CNCAN ID:CNCAN-2006020904　　漏洞消息时间:2006-02-08　　漏洞起因　　输入验证错误　　影响系统　　PHP iCalendar PHP iCalendar 2.0.1 　　PHP iCalendar PHP iCalendar 2.1　　PHP iCalendar PHP iCalendar 2.0　　危害　　远程攻击者可以利用漏洞以WEB权限执行任意PHP命令。　　攻击所需条件　　攻击者必须访问PHP ICalendar。　　厂商解决方案　　可参考如下补丁：　　http://dimer.tamu.edu/phpicalendar.net/forums/viewtopic.php?p=1869#1869　　漏洞提供者　　Aliaksandr Hartsuyeu 　　漏洞消息链接　　http://marc.theaimsgroup.com/?l=bugtraq&m=113944039824395&w=2　　漏洞消息标题　　[eVuln] PHP iCalendar File Inclusion Vulnerability