发布日期：2001-08-30
更新日期：2001-09-07

受影响系统：

PhpMyExplorer 1.2.1以前版本

不受影响系统：

PhpMyExplorer 1.2.1

描述：

---

PhpMyExplorer是一个流行的基于PHP的文件管理器。PhpMyExplorer 1.2.1以前版本存在一个
目录遍历的安全漏洞。
如果服务器没有设置正确的权限，攻击者可以浏览系统目录和文件，甚至某些敏感文件,
例如/etc/passwd等等。

<*来源：Ben Ford （ford@erisksecurity.com）*>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

例如，提交下列请求：
http://victim/index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2F%2Fetc
就可以获取/etc目录的文件列表。


建议：

---

厂商补丁：

厂商已经发布了PhpMyExplorer 1.2.1，该版本不存在这个安全问题：
http://elegac.free.fr/

浏览次数：5090
严重程度：0（网友投票）