发布日期：2001-08-03
更新日期：2001-12-30

受影响系统：

Darren McClelland PHPFileExchange 0.8.9
Darren McClelland PHPFileExchange 0.8.8 Pre
Darren McClelland PHPFileExchange 0.8.7 Pre
Darren McClelland PHPFileExchange 0.8.6 Pre
Darren McClelland PHPFileExchange 0.8.10A

描述：

---

BUGTRAQ  ID: 3744

PHPFileExchange是一个免费的，开放源码的，基于Web的文件交换程序。它可以使用户们把自己的文件放到一个Web服务器上使其他用户能够访问那些文件。

PHPFileExchange 0.8.10A及以下版本存在访问验证漏洞，可以使攻击者访问其他用户的目录。

利用这个漏洞攻击者可以访问其他用户标为只读的目录，攻击者可以上传一些恶意的文件到另一个用户的目录。


<*来源：Darren McClelland （darren@seattleserver.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止程序的使用。

厂商补丁：

Darren McClelland
-----------------
作者已经在最新版本的软件中修补了漏洞，请到作者的主页下载：

PHPFileExchange Upgrade latest.tar.gz
http://www.seattleserver.com/Projects/phphttpfs/latest.tar.gz

浏览次数：3803
严重程度：0（网友投票）