发布日期：2003-01-24
更新日期：2003-01-31

受影响系统：

YaBB YaBB SE 1.5.1RC1
YaBB YaBB SE 1.5.0
YaBB YaBB SE 1.4.1

描述：

---

BUGTRAQ  ID: 6674

YaBB SE是一款开放源代码基于WEB的论坛程序。

YaBB SE包含的News.php脚本对用户提交的参数缺少正确输入，远程攻击者可以利用这个漏洞构建恶意服务器，提供PHP文件，通过提交特殊URL以WEB权限运行PHP中包含的代码。

YaBB SE中存在"root"根目录中的"News.php"脚本包含如下代码：

********
..

$dbcon = mysql_connect($db_server,$db_user,$db_passwd);
mysql_select_db ($db_name);

..

********

News.php会尝试连接sql数据库，可以看到上面变量包含的数据库信息没有定义，可以被攻击者定义，如果攻击者在自己的服务器上安装yabbse并允许SQL连接，这样News.php会连接数据库并认为成功装载，然后运行如下代码：

********
..

    if ($template == null)
        include("news_template.php");
    else
    {
        if ($ext == null)
            include($template.".php");
        else
            include($template.".".$ext);
    }

..

********

上面的$template没有预先定义，因此可以通过全局注入来进行变量定义，攻击者可以通过把恶意PHP文件存放在自己控制的服务器上，并指定$template变量为恶意PHP文件路径，就可以提交特殊URI请求以WEB权限执行恶意PHP文件中的代码。

<*来源：Mindwarper （logger@hehe.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104341811300530&w=2
*>

建议：

---

厂商补丁：

YaBB
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sourceforge.net/projects/yabbse

浏览次数：3196
严重程度：0（网友投票）