McNews install.php远程任意文件包含漏洞

发布日期：2005-03-18
更新日期：2005-03-18

受影响系统：

McNews McNews 1.3
McNews McNews 1.2
McNews McNews 1.1 a
McNews McNews 1.1
McNews McNews 1.0

描述：

---

BUGTRAQ ID: 12835
CVE(CAN) ID: CVE-2005-0800

mcNews是一套允许用户在WEB上张贴新闻的脚本系统，可运行在Linux和Unix操作系统上，也可运行在Microsoft Windows操作系统下。

mcNews中存在远程文件包含漏洞，漏洞的起因是应用程序无法正确的过滤用户对install.php脚本所提供的输入，这样攻击者就可以在输入中包含任意文件，导致跨站脚本等攻击。

有漏洞的代码如下：
-----------------------------------

--> admin/install.php
...
33 if ($table==1)
34 {
35 include($l);
36 echo '<a href="index.php">'.$lGoAdmin.'</a>';
37 }
...

仅在本地站点的PHP配置中同时启用了allow_url_fopen和register_globals时才可能利用这个漏洞。

<*来源：Jonathan Whiteley （jon.whiteley@gmail.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111108900102438&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 安装了应用程序后就不再需要install.php脚本，可将其删除。但目前仍未确认这个临时处理方法。

厂商补丁：

McNews
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpforums.net/mcNewsEN.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有