My_EGallery模块远程包含命令注入漏洞
发布日期: 2003-12-2
受影响系统:
lottasophie My_eGallery 3.1.1 f
lottasophie My_eGallery 3.1.1
不受影响系统:
lottasophie My_eGallery 3.1.1 g
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9113
My_eGallery是一款PostNuke模块,允许用户在WEB上建立和操作自己的图库。
My_eGallery没有充分处理用户提交输入,远程安全者可以利用这个漏洞未授权访问系统。
部分PHP文件包含参数包含函数时缺少充分过滤,安全者可以在自己控制的服务器上构建恶意PHP文件,并把把恶意PHP文件提供给参数包含,可导致任意代码以WEB进程权限执行。
<*来源:Bojan Zdrnja (Bojan.Zdrnja@LSS.hr)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106988140411547&w=2
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在php.ini配置文件中,设置'allow_url_fopen'和'register_globals'为1。
厂商补丁:
lottasophie
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
lottasophie Upgrade My_eGallery 3.1.1.g
http://lottasophie.sourceforge.net/modules.php?op=modload&name=Downloads&file=index&req=getit&lid=22
