Cyboards PHP Lite远程文件包含漏洞发布时间:2003-01-23 更新时间:2003-01-23 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6597 受影响系统 Cyboards PHP Lite 1.21详细描述 Cyboards PHP Lite实现上存在漏洞,软件脚本允许用户指定某个PHP脚本将其包含进来执行,而此文件可以是远程服务器上的,因此远程入侵者可以指定服务器脚本包含一个自己控制的服务器上的恶意PHP脚本,这样可能导致服务器以HTTP进程的权限执行入侵者指定的任意命令。 解决方案 厂商还未提供解决方案,临时解决方案是修改php.ini文件中的如下配置使之不能包含远程文件: register_globals = Off allow_url_fopen = Off 相关信息 mindwarper@hush.com |
