newsPHP远程文件包含漏洞发布时间:2003-09-01 更新时间:2003-09-01 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:8488 受影响系统 newsPHP newsPHP 216详细描述 newsPHP包含的nphpd.php模块存在文件包含漏洞,问题是由于对"nphp_config[LangFile]"参数缺少充分处理,指定系统任意文件可导致敏感信息泄露。 测试代码 http://[host]/nphp/nphpd.php?nphp_config[LangFile]=/evil/file 解决方案 尚无 相关信息 Dariusz 'Officerrr' Kolasinski. 参考:http://marc.theaimsgroup.com/?l=bugtraq&m=106194537922103&w=2 |
