发布日期：2003-01-13
更新日期：2003-01-20

受影响系统：

Cyboards Cyboards PHP Lite 1.25
Cyboards Cyboards PHP Lite 1.21

描述：

---

BUGTRAQ  ID: 6597

Cyboards PHP Lite是一款基于WEB的论坛程序。

Cyboards PHP Lite中部分脚本对用户提交的输入缺少正确检查，远程攻击者可以利用这个漏洞包含远程服务器上的任意文件，以WEB进程权限在系统上执行任意命令。

攻击者通过在自己控制的主机上提供包含恶意PHP代码的脚本，并向Cyboards提交指向包含恶意脚本的路径作为参数的请求，可以WEB进程权限在目标系统服务器上执行这些代码。

<*来源：Mindwarper （logger@hehe.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改php.ini配置：

register_globals = Off
allow_url_fopen = Off

然后重启Web服务器。

厂商补丁：

Cyboards
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.gold-sonata.com/index.phtml?content=script/forums&menu=script

浏览次数：2513
严重程度：0（网友投票）