发布日期：2003-08-25
更新日期：2003-08-29

受影响系统：

newsPHP newsPHP 216

描述：

---

BUGTRAQ  ID: 8488

NewsPHP是一款基于PHP的新闻发布程序。

NewsPHP不正确处理nphpd.php的LangFile参数，远程攻击者可以利用这个漏洞以Web进程权限查看系统中任意文件内容。

问题存在于nphpd.php中，问题代码如下：

[..]
// We know what we are supposed to be doing
// now. Load in a custom language if they
// have it set.
[..]
Oh yeah, we are ;]
[..]
  if(isset($nphp_config["LangFile"]))
  {
   if(strtolower($nphp_config["LangFile"]) != "default" && $nphp_config["LangFile"] \
!= "" && file_exists($nphp_config["LangFile"]))  {  
     include($nphp_config["LangFile"]);
   }
  }
[...]


'LangFile'变量用于从用户输入中直接获得包含语言文件，当'nphpd.php'脚本作为参数进行调用时由于没有进行初始化，因此可以通过全局注入来进行变量定义，攻击者可以指定本地系统中的任意文件作为参数提交给'LangFile'变量，可导致以WEB服务进程权限查看任意系统文件内容。

<*来源：Officerrr （officerrr@poligon.com.pl）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106194537922103&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Officerrr （officerrr@poligon.com.pl）提供了如下测试方法：

http://[host]/nphp/nphpd.php?nphp_config[LangFile]=/evil/file

建议：

---

厂商补丁：

newsPHP
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.newsphp.com/

浏览次数：2794
严重程度：0（网友投票）