BUGTRAQ: 2271
Phorum是一款基于PHP的WEB论坛程序,可使用在Linux和Unix操作系统下,也可使用在Microsoft Windows操作系统下。Phorum存在一个问题,远程攻击者可以访问本地系统文件。
admin.php3脚本用于安全和管理被创建的论坛。它带有口令保护,但存在漏洞可以无需访问权限修改管理员口令。一旦拥有了管理功能的访问权限,就可以进入 Master Setting 功能,在 default .langfile name 输入框输入想要访问的系统本地文件,重新载入admin.php3页面后就可以浏览这个文件的内容了。
3.0.7 and Previous
临时解决方法:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 暂时使用Apache的访问控制,限制对admin.php3所在目录的访问。
厂商补丁:
Brian Moon
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Brian Moon Upgrade Phorum 3.2.11
<a href=http://phorum.sourceforge.net/downloads/phorum-3.2.11.tar.gz target=_blank>http://phorum.sourceforge.net/downloads/phorum-3.2.11.tar.gz</a>
共 1 兑换
京公网安备 11010502034610号
暂无评论