PHPFirstPost 0.1版本中存在安全漏洞,远程用户可通过提交不存在的页面请求导致wwwroot目录路径泄露,进而可能遭到进一步攻击。建议设置HTTP认证确保仅合法用户可访问。
受影响系统:
PHP FirstPost PHP FirstPost 0.1
描述:
BUGTRAQ ID: 4274
CVE(CAN) ID: CVE-2002-0445
PHP FirstPost是一款PHP WEB日志程序,包含一个开放的提议队列和评估系统。
PHP FirstPost对不存在的页面请求处理不正确,可导致wwwroot目录路径泄露。
远程用户可以提交一个不存在的页面给PHP FirstPost服务程序,使BPHP FirstPost返回错误信息并显示wwwroot目录的绝对路径。
此信息泄露可帮助攻击者进一步对系统进行攻击。
<*来源:Ahmet Sabri ALPER (s_alper@hotmail.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0117.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 设置HTTP认证,确信只有合法用户才能访问程序。
厂商补丁:
PHP FirstPost
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://sourceforge.net/projects/phpfirstpost/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
