发布日期：2005-04-04
更新日期：2005-04-04

受影响系统：

AlstraSoft EPay Pro 2.0

描述：

---

BUGTRAQ  ID: 12973
CVE(CAN) ID: CVE-2005-0980

AlstraSoft EPay是运行在Unix平台上的电子商务软件。

EPay Pro中存在远程文件包含漏洞，远程攻击者可能利用此漏洞在主机执行任意命令。

如果远程攻击者通过view参数传送他们所指定的脚本的位置的话，就会触发这个漏洞。攻击者可以利用这个漏洞在受影响的计算机上执行任意服务器端的脚本。

<*来源：Diabolic Crab dcrab （dcrab@hackerscenter.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111247198021626&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在本地站点PHP设置中禁用allow_url_fopen和register_globals

厂商补丁：

AlstraSoft
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.alstrasoft.com

浏览次数：2631
严重程度：0（网友投票）