发布日期：2002-01-29
更新日期：2002-02-04

受影响系统：

phpDBform PhpWebThings 0.4

不受影响系统：

phpDBform PhpWebThings 0.41

描述：

---

BUGTRAQ  ID: 4013

PhpWebThings是一个用PHP脚本设计的WEB程序，它基于MySQL数据库，可以运行于大部分Windows、Linux/Unix操作系统。

一些版本的PhpWebThings存在一个漏洞，可以直接访问core/main.php。远程攻击者构造恶意的CGI参数直接访问这个脚本，可能会搅乱脚本的功能，甚至修改数据库查询语句。

<*来源：Peter Vreugdenhil
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在core/main.php的第二行加上以下代码：
if (strstr($PHP_SELF, "/core/")) die ("You can't access this file directly...");

厂商补丁：

phpDBform
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PhpWebThings 0.4.1以上版本修复了这个问题，下面是下载地址：
PhpWebThings Upgrade phpwebthings-0.4.1.zip
http://freshmeat.net/redir/phpwebthings/15746/url_zip/phpwebthings-0.4.1.zip



浏览次数：3599
严重程度：0（网友投票）