phpGroupWare远程Include文件漏洞发布时间:2000-12-11 更新时间:2000-12-11 严重程度:中 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:服务器模式 受影响系统 Joseph Engo phpGroupWare 0.9.6 和以前的版本详细描述 phpGroupWare是一个多用户的groupware工具,其中存在一个问题可以导致用户 远程执行任意代码。问题出现在Php的Include()函数中,由于在phpgw.inc.php include文件的设计缺陷,就可在FORM方式里提供变量填充这些变量,并一起软件 搜寻在本地系统之外的include文件,由于不充足的访问控制,可以导致恶意用户 对WEB服务器请求特殊的请求而导致以HTTP的UID来执行命令。 测试代码 尚无 解决方案 Joseph Engo phpGroupWare 0.9.6 和之前的请下载升级程序: phpGroupWare upgrade phpGroupWare-0.9.7.tar.gz http://www.phpgroupware.org/downloads.php?filename=phpGroupWare-0.9.7.tar.gz 相关信息 |
