发布日期：2002-05-07
更新日期：2002-05-15

受影响系统：

PHPFormMail PHPFormMail 1.3

不受影响系统：

PHPFormMail PHPFormMail 1.3.1

描述：

---

BUGTRAQ  ID: 4704

PHPFormMail设计用于代替Matt Wright's FormMail的脚本程序，由PHP语言编写，PHPFormMail可以用来通过一系列CGI参数指定发送邮件。

PHPFormMail对用户提交给CGI参数的数据缺少正确充分的检查，导致远程攻击者可以发邮件给任意用户。

攻击者可以提交任意收件人地址给CGI参数，PHPFormMail对此数据缺少正确检查，可导致攻击者把此服务器作为开放邮件转发服务器使用，可以发送商业广告等操作，过多的滥用转发可导致邮件服务器被其他服务器过滤。

<**>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对PHPFormMail系统实行访问控制，只允许可信用户访问。

厂商补丁：

PHPFormMail
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PHPFormMail Upgrade phpformmail_classic-1.03.1.tar.gz
http://freshmeat.net/redir/phpformmail/18771/url_tgz/phpformmail_classic-1.03.1.tar.gz



浏览次数：3542
严重程度：0（网友投票）