发布日期：2003-01-20
更新日期：2003-01-25

受影响系统：

MyRoom MyRoom 3.5 GOLD

描述：

---

BUGTRAQ  ID: 6644

MyRoom是一款电子商务相关脚本，包括允许成员和管理员发表要出售的帖子。

MyRoom中的save_item.php脚本对用户提交的图片文件缺少正确安全检查，远程攻击者可以利用这个漏洞上传系统任意文件作为图片文件，并查看文件信息。

'room/save_item.php'用于用户增加帖子来声明要出售的物品，包括名字、价格、图片等。其中在上传图片处理上存在漏洞，攻击者可以在'photo'参数字段中传递任意系统文件，导致脚本未经充分处理直接作为图片处理，通过请求查看图片的URL，就可以获得文件信息。

<*来源：Frog Man （leseulfrog@hotmail.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104322493308142&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Frog Man （leseulfrog@hotmail.com）提供了如下测试方法：

http://[target]/room/save_item.php?name=[NAME]&ref=hacked&photo=../inc/conf.php&photo_type=ttxt

+ http://[target]/room/index.php?show=search&search=it_name&item=[NAME]

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Charlie (croweye@n-picture.net)提供如下第三方补丁：

在save_item.php中，在如下代码后：

---
if($fileextention=="pjpeg"){
$fileextention="jpg";
}
---

增加如下处理代码：

---
$strs = explode(".",$photo);
$count= count($strs);
$k = $strs[$count-1];

if( $k!="jpg" AND $k!="gif" AND $k!="png" AND $k!="bmp" AND $k!="jpeg" ) die("Authorized extensions are .gif, .jpg, .png, .bmp, .jpeg");
if( file_exists($photo) ) die("Wrong path.");
---

厂商补丁：

MyRoom
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.plansbiz.net/

浏览次数：3643
严重程度：0（网友投票）