发布日期：2002-04-25
更新日期：2002-04-29

受影响系统：

PHPProjekt PHPProjekt 3.1a
PHPProjekt PHPProjekt 3.1
PHPProjekt PHPProjekt 2.4a
PHPProjekt PHPProjekt 2.4
PHPProjekt PHPProjekt 2.3
PHPProjekt PHPProjekt 2.2
PHPProjekt PHPProjekt 2.1a
PHPProjekt PHPProjekt 2.1
PHPProjekt PHPProjekt 2.0.1
PHPProjekt PHPProjekt 2.0

不受影响系统：

PHPProjekt PHPProjekt 3.2

描述：

---

BUGTRAQ  ID: 4599
CVE(CAN) ID: CVE-2002-1758

PHPProjekt是一款免费开放源代码PHP组件程序，由PHPProjekt Development Team开发和维护，可使用在Unix和Linux操作系统下，也可使用在Microsoft Windows操作系统下。

PHPProjekt部分需要验证的脚本缺少正确验证机制，可导致攻击者无需登录访问脚本。

PHPProjekt中的部分脚本本来需要验证的用户才能访问，攻击者可以无需认证通过HTTP POST方式提交数据来查看或者编辑包含在任意脚本中的数据。

<*来源：Ulf Harnhammar （ulfh@update.uu.se）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0347.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

PHPProjekt
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PHPProjekt Upgrade PHPProjekt 3.2
http://www.phprojekt.com/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=1

浏览次数：2748
严重程度：0（网友投票）