发布日期：2002-03-12
更新日期：2002-03-17

受影响系统：

PHP FirstPost PHP FirstPost 0.1

描述：

---

BUGTRAQ  ID: 4274
CVE(CAN) ID: CVE-2002-0445

PHP FirstPost是一款PHP WEB日志程序，包含一个开放的提议队列和评估系统。

PHP FirstPost对不存在的页面请求处理不正确，可导致wwwroot目录路径泄露。

远程用户可以提交一个不存在的页面给PHP FirstPost服务程序，使BPHP FirstPost返回错误信息并显示wwwroot目录的绝对路径。

此信息泄露可帮助攻击者进一步对系统进行攻击。

<*来源：Ahmet Sabri ALPER （s_alper@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0117.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设置HTTP认证，确信只有合法用户才能访问程序。

厂商补丁：

PHP FirstPost
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://sourceforge.net/projects/phpfirstpost/

浏览次数：2853
严重程度：0（网友投票）